Как показало проведенное Microsoft исследование, авторы троянца-вымогателя Reveton расширили его репертуар, добавив функцию кражи паролей.

Вымогательские программы, подобные Reveton, блокируют доступ к зараженной системе и требуют выкуп за разблокировку. Зачастую они выводят во весь экран сообщение, обвиняя жертву в совершении ряда правонарушений, и предлагают уплатить «штраф». К сожалению, выполнение этого требования редко дает желаемый эффект.

Троянский блокер Reveton (в классификации ЛК Trojan-Ransom.Win32.Foreign) хорошо известен security-сообществу. На радары Microsoft этот зловред впервые попал в январе прошлого года. По данным компании, вначале это был обыкновенный похититель паролей, который, однако, быстро эволюционировал и обрел функционал блокировщика. В мае 2012 года Reveton пересек океан и объявился на территории США. Как мы уже отмечали, Reveton начал шантажировать американцев, показывая сообщение, написанное от имени министерства юстиции США, и требовал уплаты «штрафа» в размере 100 долларов. Дебют блокера в США был столь впечатляющим, что ФБР сочло необходимым опубликовать соответствующее предупреждение.

Как правило, Reveton загружается на машину жертвы посредством эксплуатации уязвимостей. Его авторы сами не пишут эксплойты, но предпочитают использовать готовые наборы – например, Blackhole. По свидетельству Microsoft, после инсталляции троянец подключается к командному серверу и загружает информацию о прописке жертвы в Сети: интернет-провайдер, страна, город и т.п.  Он скачивает с C&C также dll, отвечающую за блокировку экрана на зараженной машине. Загруженная информация подвергается сжатию и хранится в контейнере как %APPDATA%\<произвольное имя>.pad, т.е. доступна оффлайн. Авторы Reveton снабдили его новую итерацию встроенным РЕ-загрузчиком, чтобы зловред мог загружать dll напрямую из контейнера

Эксперты отмечают, что после блокировки экрана и вывода сообщения с требованием выкупа обновленный шантажист переходит в фоновый режим и запрашивает у C&C модуль, предназначенный для кражи паролей. Как показал анализ, этот PSW-компонент способен воровать пароли, оперируя «внушительным списком из загрузчиков файлов, программ удаленного управления, ftp-клиентов, клиентов покер-порталов, чатов и электронной почты, а также пароли, сохраненные в браузерах и в защищенных областях памяти».

Категории: Вредоносные программы