Аналитики «Доктор Веб» завершили исследование полиморфного файлового вируса, способного воровать банковские реквизиты и другие конфиденциальные данные, а также шпионить за своими жертвами. По свидетельству экспертов, сложный и опасный Windows-зловред, нареченный Bolik, интересуется прежде всего информацией клиентов российских банков.

Анализ показал, что авторы Bolik позаимствовали некоторые технологии, реализованные в «классических» банковских троянцах ZeuS и Carberp, исходные коды которых давно утекли в Сеть. В частности, новый зловред использует веб-инжекты для внедрения стороннего контента в страницы, открываемые в Internet Explorer, Chrome, Opera или Firefox. От Carberp он унаследовал виртуальную файловую систему, позволяющую незаметно хранить на зараженной машине необходимую для работы информацию.

Тем не менее, в отличие от названных банкеров, Bolik умеет распространяться самостоятельно, без участия пользователя. Получив соответствующую команду, он просматривает доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, отыскивает и заражает исполняемые файлы. Заметим, аналогичную функцию самораспространения некогда опробовал и сам ZeuS.

Примечательно, что Bolik-вирус способен атаковать как 32-битные, так и 64-битные приложения. При запуске инфицированного файла вредоносный код-банкер расшифровывается и загружается в память, без записи на диск. Во избежание детектирования Bolik «на лету» модифицирует код и структуру собственной части, отвечающей за расшифровку кода, внедренного в легитимное приложение. Для защиты от антивирусов, использующих эмулятор, в новом зловреде предусмотрены специальные «замедлители» исполнения.

Отслеживая действия жертвы, Bolik делает скриншоты и регистрирует нажатия клавиш. Он также создает на зараженной машине прокси и сервер для обмена файлами с операторами. Если компьютер жертвы находится за сетевым экраном или в NAT-сети, зловред организует «реверсное соединение». Весь обмен с C&C осуществляется с использованием шифрования.

В заключение исследователи предупредили, что избавиться от новой инфекции непросто, лечение может занять несколько часов.

Защитные решения «Лаборатории Касперского» детектируют нового зловреда с вердиктами Trojan.Win32.Patched.netyxu и Trojan.Win64.Patched.netyxu.

Update. Эксперты «Лаборатории Касперского» переименовали нового зловреда в Virus.Multi.netyxu.a.

Категории: Аналитика, Вредоносные программы, Главное