Компания «Доктор Веб» предостерегает общественность о широком распространении новой троянской программы, атакующей пользователей платформы SAP (программный комплекс для бизнеса). Вредоносная утилита относится к семейству банковских вирусов Trojan.PWS.Ibank, которые способны перехватывать пароли, вводимые пользователем в различные формы, и другую персональную информацию. Специалисты уже провели комплексный анализ обнаруженного вируса. По сравнению с предыдущими представителями популярного семейства, новая версия троянской программы имеет другую архитектуру модуля бота и измененный механизм IPC
(модуль межпроцессорного взаимодействия). Остальные компоненты (алгоритм шифрования, протокол связи с внешним сервером и реализация полезной нагрузки) практически не изменились. Модуль инсталляции троянского приложения способен выявлять попытки запуска вируса в виртуальной среде, что осложняет ее анализ. Производится также проверка на запуск в среде Sandboxie («песочница»), которая также позволяет контролировать работу приложений. Основной модуль троянского приложения способен теперь выполнять две новые функции (по сравнению с более ранними версиями вируса Trojan.PWS.Ibank) – загрузка конфигурационного файла и выключение/включение блокировки банковской программы. Новая модификация способна получать список активных в данный момент приложений, включая клиент SAP. Данный бизнес-пакет содержит большое количество модулей, включая приложения для работы с товарооборотом, налогообложением, сбытом, и потому хранит и оперирует персональной информацией. Специалисты отметили, что первая версия троянской программы, проверяющая установку SAP в зараженном ПК, получила распространение в середине 2013 года. В компании также рассказали, что вирусы Trojan.PWS.Ibank имеют большое количество вредоносных функций, например: - кража паролей; - выполнение команд с внешнего сервера; - полная блокировка доступа к ресурсам крупных антивирусных компаний; - организация на зараженном компьютере полноценного сервера VNC и прокси-сервера - выполнение команды уничтожения Windows и загрузочных областей накопителя. При этом специалисты отметили, что в данный момент вредоносное приложение не производит никаких деструктивных действий против SAP, просто проверяя его наличие и делая попытку встроить свой код в соответствующий программе процесс (если он активен). При использовании материалов сайта активная ссылка на Доска бесплатных объявлений./ обязательна.