Исследователи «Доктор Веб» обнаружили наследника банковских троянов Zeus и Carberp. Банкер Bolik способен похищать деньги со счетов клиентов российских банков, воровать конфиденциальную информацию и шпионить за своими жертвами. В отличие от Zeus и Carberp, Bolik может распространяться без участия пользователя и заражать исполняемые файлы. Кроме того, троян крайне сложно вывести с зараженного компьютера: лечение может занимать несколько часов.
Эксперты «Доктор Веб» пишут, что самое опасное свойство данного банкера – это его умение распространяться самостоятельно. Данная функция активируется по команде злоумышленников, после чего Trojan.Bolik.1 начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом троян может инфицировать как 32-, так и 64-разрядные приложения.
Внутри каждой зараженной программы в зашифрованном виде хранится сам троян Trojan.Bolik.1 и другая необходимая вирусу информация. Если пользователь запустит на своем компьютере такое приложение, банкер будет расшифрован и запущен прямо в памяти атакуемого компьютера, без сохранения на диск. При этом вирус имеет специальный встроенный механизм, позволяющий «на лету» изменять код и структуру собственной части, отвечающей за расшифровку Trojan.Bolik.1. Таким образом вирусописатели пытаются затруднить обнаружение своего детища антивирусными программами. Кроме того, Win32.Bolik.1 пытается противодействовать антивирусам, умеющим пошагово выполнять вредоносные программы в специальном эмуляторе, — в архитектуре этого вируса предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.
Bolik недаром был назван наследником Zeus и Carberp. От Carberp он унаследовал виртуальную файловую систему, которая хранится в специальном файле. Этот файл троян размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет скрыто хранить на зараженном компьютере нужную ей для работы информацию.
От Zeus Trojan.Bolik.1 позаимствовал механизм встраивания в просматриваемые пользователями веб-страницы постороннего содержимого, то есть реализацию технологии веб-инжектов. С ее помощью злоумышленники похищают у своих жертв логины и пароли для доступа к системам «банк-клиент» и другую ценную информацию. Исследователи отмечают, что Trojan.Bolik.1 ориентирован прежде всего на кражу информации у клиентов российских банков, — об этом свидетельствуют характерные строчки в конфигурационном файле, передаваемом вирусу с управляющего сервера.
По словам исследователей, основная задача трояна — кража различной информации. Так, банкер способен контролировать данные, передаваемые и отправляемые браузерами Microsoft Internet Explorer, Chrome, Opera и Mozilla Firefox. Благодаря этому Bolik может похищать информацию, которую пользователь вводит в экранные формы.
Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана и кейлоггер. Также Bolik умеет создавать на зараженной машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками. Нужные файлы эта вредоносная программа может найти по заданной в специальной команде маске. Как и некоторые другие современные банковские троянцы, Trojan.Bolik.1 в состоянии организовывать так называемые «реверсные соединения» — с их помощью преступники получают возможность «общаться» с зараженным компьютером, находящимся в защищенной брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Trojan.Bolik.1 обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.
Подводя итог, эксперты «Доктор Веб» называют функциональность трояна «поистине пугающей», а его архитектуру сложной и неоднозначной.