Загроза Trojan.PWS.Papras.4 користувачам Windows

21.02.2014

Значну частину шкідливих програм, які поступають на аналіз в антивірусну лабораторію компанії «Доктор Веб», складають досить примітивні по своїм функціональним можливостям троянці.

Trojan.PWS.Papras.4 являє собою додаток, яке можна віднести до категорії RAT (Remote Administration Tool, тобто засіб віддаленого адміністрування). Воно дозволяє зловмисникам отримати доступ до інфікованого комп'ютера без відома користувача. Троянець складається з декількох компонентів, одним з яких є дроппер, після свого запуску распаковывающий в одну із системних папок інший модуль - інжектор, і в залежності від привілеїв обліковий запис користувача Windows модифікувальний відповідну гілку реєстру для додавання його в автозавантаження.

Після успішного запуску інжектор витягує і розпаковує основні модулі троянської програми, а потім вбудовує їх у всі запущені процеси за винятком кількох системних. При цьому Trojan.PWS.Papras.4 має можливість інфікувати як 32-, так і 64-розрядні процеси.

Троянець забезпечує роботу на інфікованому комп'ютері декількох функціональних модулів: один з них реалізує функції VNC-півночі, інший - сервера Socks Proxy. Ще один модуль дозволяє вбудовувати в популярні користувачем веб-сторінки стороннє вміст веб-інжект). Додатковий модуль (Grabber) призначений для передачі зловмисникам вмісту заповнюваних користувачем форм в браузерах Internet Explorer, Mozilla Firefox і Google Chrome, а модуль Stealer - викрадати паролі від кількох десятків популярних додатків, серед яких - клієнти FTP-клієнти і ряд інших програм. Нарешті, модуль backconnect дозволяє управляти інфікованої машиною, навіть якщо вона прихована за шлюзом або брандмауер.

Trojan.PWS.Papras.4 «уміє» виконувати такі команди, одержувані з віддаленого сервера:

завантажити, зберегти, запустити вказана додаток;
встановити оновлення шкідливої програми;
передати на віддалений сервер файли cookies браузерів Microsoft Internet Explorer, Mozilla Firefox і Google Chrome;
експортувати встановлені на інфікованому ПК, цифрові сертифікати і відправити їх на віддалений сервер;
передати на віддалений сервер список запущених процесів;
видалити на інфікованому ПК файли cookies;
включити запис у файл журналу;
включити проксі-сервер;
включити VNC-сервер;
встановити оновлення шкідливої програми з цифровим підписом;
запускати програми;
записати значення в реєстр або отримати значення з реєстру;
виконати пошук файлів на інфікованому комп'ютері.

Дана шкідлива програма представляє серйозну небезпеку в силу наявності обширного функціоналу для розкрадання конфіденційної інформації, яка може бути використана зловмисниками, зокрема, для несанкціонованого доступу на заражений комп'ютер, злому інтернет-ресурсів та облікових записів жертви на різних сайтах. Разом з тим Trojan.PWS.Papras.4 успішно детектується і видаляється продуктами Dr.Web, тому їх користувачі захищені від цієї загрози.