Антивирусная компания Sana Security сообщила об обнаружении нового трояна,
получившего название rootkit.hearse и распространяющегося вместе с червём
Win32.Alcra и руткитом, скрывающим вредоносную деятельность от антивирусного ПО.
Попав на компьютер, троян собирает пароли к сетевым ресурсам, которые посещает
пользователь, и отсылает на сервер, который, по словам специалистов Sana
Security, функционирует в России с 16 марта этого года. Червь состоит из двух
компонентов (драйвера zopenssld.sys и библиотеки zopenssl.dll) располагающихся в
директории System32. Большую часть времени троян бездействует, "просыпаясь" для
связи с сервером лишь во время ввода пользователем пароля для доступа к
какому-либо сетевому ресурсу. Троян способен не только перехватывать пароли в
момент их ввода с клавиатуры, но и копировать их при использовании в браузере
функции автозаполнения. По состоянию на начало текущей недели, лишь 5 из 24
протестированных экспертами Sana Security антивирусных пакетов сумели определить
присутствие в системе подозрительной активности. К началу недели на упомянутом
сервере хранилось уже около 35000 уникальных пользовательских записей, которые
можно использовать для доступа к более чем 7000 веб-сайтов, среди которых есть и
онлайновые банковские ресурсы. Эксперты Sana Security поставили в известность
неназванного российского провайдера, занимающегося хостингом сервера, однако,
насколько известно, он по-прежнему функционирует.
 



Оставить мнение