Вирусные специалисты компании «Доктор Веб» изучили новую версию вредоносной програмки, относящейся к широко известному роду Trojan.Gozi.

Банковский троянцы, получивший наименование Trojan.Gozi.64, основывается в исходном коде предшествующих версий Trojan.Gozi, некоторый уже долгое время располагаться в свободном доступе. Как и другие агенты этого семейства, Trojan.Gozi.64 возможно заражать компьютеры под правлением 32- и 64-разрядных версий Windows. Троянцы не имеет алгоритмов для генерации фамилий управляющих серверов — их адреса «зашиты» в его конфигурации, в ведь время как одна изо первых версий Gozi воспользовалась в качестве словаря текстовый документ, загружаемый с сервера NASA.

Продуктовый виджет

Разработчики троянца заложили в него ограничение, из-за которому он способен работать с операционными порядками Microsoft Windows 7 и выше, в больше ранних версиях Windows вредоносная код не запускается. Дополнительные модули закачиваются с управляющего сервера специальной библиотекой-лоадером, около этом протокол обмена данными пользуется шифрование. Лоадером Trojan.Gozi.64 имеют все шансы выполняться на зараженной автомату следующие вредоносные функции:

  • испытание обновлений троянца;
  • загрузка с далёкого сервера плагинов для браузеров, с через которых выполняются веб-инжекты;
  • нагрузка с удаленного сервера конфигурации интернет-инжектов;
  • получение персональных задач, в том числе для загрузки дополнительных плагинов;
  • далёкое управление компьютером.

Trojan.Gozi.64 возможно встраивать в просматриваемые пользователем интернет-страницы произвольное содержимое: к примеру, поддельные формы авторизации в банковских сайтах и в системах «Банк — клиент». Около этом, поскольку модификация интернет-страниц происходит непосредственно в зараженном компьютере, URL такого интернет-сайта в адресной строке браузера остается тактичным, что может ввести юзера в заблуждение и усыпить его чуткость. Введенные в поддельную форму данные даются злоумышленникам, в результате чего учетная отметка жертвы троянца может иметься скомпрометирована.

Помимо этого, в зараженный компьютер могут иметься загружены и установлены дополнительные модули, в частности плагин, определяющий нажатие пользователем клавиш, устройство для удаленного доступа к инфицированной автомату (VNC), компонент SOCKS-proxy-сервера, плагин для хищения учетных данных изо почтовых клиентов и некоторые другие.