Угроза Trojan.PWS.Papras.4 пользователям Windows

21.02.2014

Значительную часть вредоносных программ, поступающих на анализ в вирусную лабораторию компании «Доктор Веб», составляют достаточно примитивные по своим функциональным возможностям троянцы.

Trojan.PWS.Papras.4 представляет собой приложение, которое можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования). Оно позволяет злоумышленникам получить доступ к инфицированному компьютеру без ведома пользователя. Троянец состоит из нескольких компонентов, одним из которых является дроппер, после своего запуска распаковывающий в одну из системных папок другой модуль — инжектор, и в зависимости от привилегий текущей учетной записи пользователя Windows модифицирующий соответствующую ветвь системного реестра для добавления его в автозагрузку.

После успешного запуска инжектор извлекает и распаковывает основные модули троянской программы, а затем встраивает их во все запущенные процессы за исключением нескольких системных. При этом Trojan.PWS.Papras.4 имеет возможность инфицировать как 32–, так и 64-разрядные процессы.

Троянец обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в браузерах Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а модуль Stealer — похищать пароли от нескольких десятков популярных приложений, среди которых — почтовые клиенты, FTP-клиенты и ряд других программ. Наконец, модуль backconnect позволяет управлять инфицированной машиной, даже если она скрыта за шлюзом или брандмауэром.

Trojan.PWS.Papras.4 «умеет» выполнять следующие команды, получаемые с удаленного сервера:

загрузить, сохранить, запустить указанное приложение;
установить обновление вредоносной программы;
передать на удаленный сервер файлы cookies браузеров Microsoft Internet Explorer, Mozilla Firefox и Google Chrome;
экспортировать установленные на инфицированном ПК цифровые сертификаты и отправить их на удаленный сервер;
передать на удаленный сервер список запущенных процессов;
удалить на инфицированном ПК файлы cookies;
включить запись в файл журнала;
включить прокси-сервер;
включить VNC-сервер;
установить обновление вредоносной программы с цифровой подписью;
запускать программы;
записать значение в реестр или получить значение из реестра;
выполнить поиск файлов на инфицированном компьютере.

Данная вредоносная программа представляет серьезную опасность в силу наличия обширного функционала для хищения конфиденциальной информации, которая может быть использована злоумышленниками, в частности, для несанкционированного доступа на зараженный компьютер, взлома интернет-ресурсов и учетных записей жертвы на различных сайтах. Вместе с тем Trojan.PWS.Papras.4 успешно детектируется и удаляется продуктами Dr.Web, поэтому их пользователи защищены от данной угрозы.