Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Обнаружен троянец, угрожающий пользователям SAP

7 ноября 2013 года

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — предупреждает о распространении вредоносной программы, угрожающей пользователям SAP — комплекса программных решений для бизнеса. Данное вредоносное приложение является представителем широко распространенного семейства банковских троянцев Trojan.PWS.Ibank, способных похищать вводимые пользователем пароли и другую конфиденциальную информацию.

Специалисты компании «Доктор Веб» провели комплексное исследование этой угрозы. По сравнению с другими вредоносными программами семейства Trojan.PWS.Ibank, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия (IPC), упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников.

Модуль установки троянца обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить её исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ. При этом троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца, способен выполнять две новые команды (по сравнению с предыдущими версиями Trojan.PWS.Ibank) — одна из них активирует/дезактивирует блокировку банковских клиентов, другая — позволяет получить от управляющего сервера конфигурационный файл.

Еще одной важной отличительной особенностью троянца Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP — комплекса бизнес-приложений, предназначенных для управления предприятием. Данный программный комплекс включает множество модулей, в том числе, компоненты управления налогообложением, сбытом, товарооборотом, и потому оперирует конфиденциальной информацией, весьма чувствительной для коммерческих предприятий. Первая версия троянца, проверявшего наличие SAP в инфицированной системе, получила распространение еще в июне: она была добавлена в базы Dr.Web под именем Trojan.PWS.Ibank.690, текущая же имеет обозначение Trojan.PWS.Ibank.752. Напомним, что троянцы Trojan.PWS.Ibank обладают весьма широким набором вредоносных функций, среди которых можно отметить следующие:

  • похищение и передача злоумышленникам вводимых пользователем паролей;
  • воспрепятствование доступу к сайтам антивирусных компаний;
  • выполнение команд, поступающих от удаленного командного сервера;
  • организация на инфицированном компьютере прокси-сервера и VNC-сервера;
  • уничтожение по команде операционной системы и загрузочных областей диска.

Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем. Однако стоит отметить, что на сегодняшний день троянцы семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, что таким образом вирусописатели создают для себя некий «задел на будущее». Возросший интерес вирусописателей к программным комплексам SAP и ERP-системам не может не беспокоить специалистов по информационной безопасности: с использованием подобных технологий злоумышленники могут попытаться похитить критическую для коммерческих предприятий информацию, обработка которой осуществляется с применением данных систем.

На сегодняшний день троянцы семейства Trojan.PWS.Ibank не предпринимают никаких деструктивных действий в отношении программного комплекса SAP, но проверяют факт его наличия в инфицированной системе и пытаются встроиться в соответствующий процесс, если он запущен в Windows. Вполне возможно, что таким образом вирусописатели создают для себя некий «задел на будущее».


Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А