Новости

19 июня 2014 г

Обнаружен троянец с функциями антивируса

Специалисты компании «Доктор Веб» завершили исследование сложного многокомпонентного троянца Trojan.Tofsee. Основное назначение этого троянца – рассылка спама, но среди заложенных в него функций есть весьма необычная: один из модулей Trojan.Tofsee предназначен для удаления на инфицированном компьютере других троянцев и вредоносных программ.

Trojan.Tofsee помимо рассылки спама умеет «лечить» систему от других угроз, причем справляется с этой задачей на удивление успешно. Распространяется Trojan.Tofsee несколькими различными способами: с помощью программы Skype, через социальные сети и съемные накопители. В первом случае злоумышленники используют в своих целях классические методы социальной инженерии, а именно, пытаются ввести потенциальную жертву в заблуждение, сообщив ей о том, что в сети якобы опубликованы шокирующие фотографии или видеозаписи с ее участием. Безусловно, такой подход вполне можно назвать «классикой жанра», поскольку он используется распространителями вирусов на протяжении уже многих лет, однако излишне доверчивые люди все равно продолжают попадаться в эту нехитрую западню.

Сообщения пользователям социальных сетей отсылаются с учетом используемого ими национального языка. Например, потенциальным жертвам, говорящим на русском языке, рассылаются сообщения типа: "Хай. Зацени свои интимные фотки :)" или "Ты идиот? Зачем таки? фотки выкладывать в сеть??". В тексте приводится ссылка на страницу, где потенциальная жертва якобы может ознакомиться с компрометирующими ее видеозаписями или фотографиями. Однако для просмотра этого контента пользователю предлагается загрузить плагин для браузера, под видом которого и распространяется Trojan.Tofsee.

Для отправки сообщений на сайты Twitter, Facebook и «ВКонтакте» вредоносный модуль использует данные сессии из файлов cookies браузеров Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari, Google Chrome. В программу Skype сообщения отсылаются с помощью нажатия кнопок в окне самого приложения. Модуль также умеет распознавать защиту captcha на сайте социальной сети Facebook – для этого она отправляется на сервер, где распознается, после чего троянец получает текст для ввода в соответствующую экранную форму.

Другой модуль позволяет троянцу распространяться с помощью съемных флеш-накопителей. Модуль сохраняет исполняемый файл Trojan.Tofsee в Корзине, а в корневой папке съемного накопителя создает файл автозапуска autorun.inf. Заражение выполняется по команде с управляющего сервера. Еще один модуль позволяет осуществлять обновление ядра троянца Trojan.Tofsee с принадлежащего злоумышленникам сервера. Для этого используется специальный конфигурационный файл, содержащий необходимые для выполнения этой процедуры параметры. Если один из параметров не указан, вместо обновления троянец загружает с командного сервера вот такую любопытную картинку:

Однако наибольший интерес представляет модуль, предназначенный для поиска и удаления на инфицированном компьютере всех обнаруженных троянцев и других вредоносных программ (за исключением, разумеется, самого Trojan.Tofsee). Этот плагин может искать на диске файлы по заданному списку, а также записи в системном реестре Windows, перечислять запущенные процессы и удалять обнаруженные опасные файлы. Таким образом, даже если на компьютере жертвы не установлена антивирусная программа, Trojan.Tofsee «заботится» о его безопасности.

Основное назначение Trojan.Tofsee – это рассылка спама, при этом тексты отправляемых писем формируются с помощью специальных шаблонов, которые троянец скачивает с сервера злоумышленников. Функции для работы с сетью и протоколом SMTP реализованы в основном модуле Trojan.Tofsee. После успешного подключения к управляющему серверу тот отсылает троянцу ключи для расшифровки данных. Затем троянец передает на командный сервер данные о себе и получает от него задание, содержащее команды для последующего выполнения. Любопытно, что для создания отправляемых писем троянец использует собственный скриптовый язык, что само по себе является большой редкостью в мире вредоносного ПО.

В настоящий момент Trojan.Tofsee может загружать с удаленных серверов 17 подключаемых модулей, реализованных в виде динамических библиотек. Помимо уже описанных выше, другие модули, которые использует в своей работе Trojan.Tofsee, имеют следующее функциональное назначение:

• модуль для проверки правильности адресов удаленных узлов, передаваемых ему в виде блока конфигурационных данных;

• плагин для реализации DDoS-атак. Способен реализовывать два вида атак: http flood и syn flood;

• модуль, представляющий собой зашифрованный Trojan.PWS.Pony.5;

• модуль для журналирования данных браузера Microsoft Internet Explorer. Извлекает из своего тела и встраивает в процесс браузера библиотеку IEStub.dll, управляется отдельным конфигурационным файлом;

• модуль для работы с графическими файлами, который загружает изображения в специальные структуры для дальнейшей работы других плагинов;

• модуль, который извлекает почтовые адреса из Internet Account Manager и PStoreCreateInstance, формирует адрес отправителя в виде %NAMEPC%@mail.ru и пытается отправить сообщения по созданному списку;

• плагин, загружающий предназначенного для добычи криптовалюты Bitcoin троянца Trojan.BtcMine.148. Он устанавливает Trojan.BtcMine.148 в системе и передает ему необходимые параметры при запуске;

• модуль, который устанавливает в папку system32\drivers\ вредоносную программу Trojan.Siggen.18257 в виде файла со случайным именем и расширением .sys, после чего запускает его;

• модуль, реализующий функции http- и socks5-прокси;

• модуль, предназначенный для формирования и рассылки почтовых сообщений; Использует встроенный скриптовый язык для формирования сообщений и рассылает их по протоколу HTTPS. SSL-шифрование реализовано посредством Microsoft Unified Security Protocol Provider;

• библиотека для перехвата и анализа трафика на низком уровне, использует для этого специальный драйвер. Ищет в потоке данных информацию, передаваемую по протоколам FTP и SMTP, может подменять адреса и тело сообщений;

• плагин, обрабатывающий конфигурационные шаблоны и соответствующим образом формирующий их в памяти;

• модуль, в котором реализован скриптовый язык для создания рассылаемых троянцем писем.

Сигнатуры самой вредоносной программы Trojan.Tofsee, а также всех ее модулей добавлены в вирусные базы Dr.Web, потому данный троянец не представляет угрозы для пользователей.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

1 июля 2014 г

 • Компания ADATA выпускает внешний аккумулятор PV110
 • Sharp разработала экраны Free-Form Display практически любой формы
 • Cisco приобрела компанию Assemblage
 • Intel представляет новые решения для образования
 • «Астерос» развернул систему видео-конференц-связи для оператора «Укртелеком»

27 июня 2014 г

 • Samsung представила Gear Live на платформе Android Wear
 • G Watch: LG представила носимое устройство на Android Wear
 • Злоумышленники рассылают троянца от имени Amazon
 • Kaspersky Lab патентует технологию защиты конфиденциальных данных
 • OKI разрабатывает печатное приложение для Android
 • "SAP Украина" показала рекордные результаты 2013 года на ИТ-рынке Украины
 • Выявлена вредоносная рассылка якобы от имени «Доктор Веб»
 • В Киеве пройдет студенческая олимпиада по программированию "KPI-OPEN 2014"
 • Вышел обновленный браузер Opera Mini для iOS
 • Fujifilm выпускает первый пыле-брызгозащищенный XF-объектив
 • Восьмидюймовый планшет Lenovo А 5500 – уже в Украине
 • OKI представляет цифровой CMYK-принтер с белым и глянцевым тонером
 • «Киевстар» готов помочь другим операторам в организации безопасности их сетей
 • Исследовательский проект Ford и Intel для систем управления автомобилем

26 июня 2014 г

 • Мощные и компактные: блейд-системы Fujitsu PRIMERGY BX400 S1