В январе 2012 года в антивирусную лабораторию "Доктор Веб" поступило несколько интересных образцов вредоносных программ, в том числе, нескольких новых банковских троянцев.

Речь идет, в частности, об очередной модификации троянской программы Trojan.PWS.Ibank, отвечающей современным тенденциям использования систем ДБО. Данная вредоносная программа позволяет передавать злоумышленникам аутентификационные данные, ключи и сведения о конфигурации множества различных банк-клиентов.

Особенность данной модификации троянца заключается в том, что она содержит в себе реализацию т.н. VNC-сервера, в коде которого организована поддержка протокола работы с dedicated-сервером Zeus (Trojan.PWS.Panda), через который и осуществляется сеанс удаленного управления. Другая немаловажная особенность данного троянца - присутствие модуля, предназначенного для мониторинга и перехвата информации специализированного программного комплекса, используемого в одном из государственных финансовых учреждений РФ.

Как сообщается, компания "Доктор Веб" уже передала в правоохранительные органы подробную техническую информация о структуре и принципе действия данного вредоносного ПО.

Примерно в это же время специалисты "Доктор Веб" зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe.

В случае если для доступа к сайту банка используется браузер Microsoft Internet Explorer, троянец вызывает стандартную функцию crypt32.dll для установки поддельного сертификата. При добавлении сертификата в хранилище операционная система обычно демонстрирует соответствующее предупреждение: троянец перехватывает и закрывает это окно.

Если для доступа к банковскому сайту используется другой браузер, для установки сертификата применяются функции из стандартной библиотеки nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена доменов, которые троянец должен подменять. Впоследствии, при обращении к сайту системы банк-клиент по протоколу HTTPS, пользователю будет демонстрироваться поддельная веб-страница, а введенные им в форме авторизации учетные данные будут переданы злоумышленникам.

Благодаря совместным действиям службы безопасности банка и специалистов антивирусной лаборатории "Доктор Веб", данная вредоносная программа в настоящий момент не представляет серьезной опасности для пользователей.