Новый троянец атакует пользователей SAP

Компания «Доктор Веб» сообщила о распространении вредоносной программы, угрожающей пользователям SAP. Данное вредоносное приложение является представителем широко распространенного семейства банковских троянцев Trojan.PWS.Ibank, способных похищать вводимые пользователем пароли и другую конфиденциальную информацию.

По сравнению с другими вредоносными программами семейства Trojan.PWS.Ibank, новая версия отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников. В задачу троянца входит:

• похищение и передача злоумышленникам вводимых пользователем паролей;
• воспрепятствование доступу к сайтам антивирусных компаний;
• выполнение команд, поступающих от удаленного командного сервера;
• организация на инфицированном компьютере прокси-сервера и VNC-сервера;
• уничтожение по команде операционной системы и загрузочных областей диска

Одной из отличительных особенностей троянца Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP — комплекса бизнес-приложений, предназначенных для управления предприятием. Данный программный комплекс включает множество модулей, в том числе, компоненты управления налогообложением, сбытом, товарооборотом, и потому оперирует конфиденциальной информацией, весьма чувствительной для коммерческих предприятий.