PandaLabs зафиксировала появление нового трояна Briz
PandaLabs сообщает о появлении нового трояна Briz.R. Этот троян позволяет злоумышленнику получить удаленный контроль над зараженным компьютером и перенаправлять пользователей на поддельные веб-страницы, разработанные для кражи конфиденциальных данных. Истоки нового вируса Briz.R кроются в афере по созданию и продаже персонализированных версий Briz, которая была обнаружена и уничтожена лабораторией PandaLabs несколько месяцев назад.
Briz.R может проникать на компьютеры любыми путями, включая веб-страницы, скачивания подозрительных программ и т.д. Однако автор не предпринимал усилий по его масштабному распространению, чтобы избежать обнаружения антивирусными компаниями.
Атака Briz.R начинается с установки файла с именем iexplore.exe, который используется для проверки наличия активного подключения к Интернету. Если подключение найдено, он скачивает другой файл, под названием ieschedule.exe, который сохраняет конфигурационные параметры трояна и номер порта, через который будет отправлена украденная информация.
Другой скачиваемый компонент - файл ieserver.exe, перенаправляет пользователя на поддельные веб-страницы, разработанные для кражи личных данных, когда пользователь пытается зайти на определенные веб-адреса. Многие из этих страниц принадлежат онлайновым финансовым сервисам. Если пользователь вводит данные на одной из поддельных страниц, троян крадет их и отправляет кибер-преступнику.
Этот веб-сервер также позволяет злоумышленнику получить удаленный контроль над зараженным компьютером. Он делает это, устанавливая созданное на PHP приложение phpRemoteView. Briz.R также скачивает компонент под названием smss.exe, который изменяет системный hosts-файл. Эти модификации блокируют доступ к большому количеству веб-страниц, относящихся к ИТ-безопасности.
Briz.R может проникать на компьютеры любыми путями, включая веб-страницы, скачивания подозрительных программ и т.д. Однако автор не предпринимал усилий по его масштабному распространению, чтобы избежать обнаружения антивирусными компаниями.
Атака Briz.R начинается с установки файла с именем iexplore.exe, который используется для проверки наличия активного подключения к Интернету. Если подключение найдено, он скачивает другой файл, под названием ieschedule.exe, который сохраняет конфигурационные параметры трояна и номер порта, через который будет отправлена украденная информация.
Другой скачиваемый компонент - файл ieserver.exe, перенаправляет пользователя на поддельные веб-страницы, разработанные для кражи личных данных, когда пользователь пытается зайти на определенные веб-адреса. Многие из этих страниц принадлежат онлайновым финансовым сервисам. Если пользователь вводит данные на одной из поддельных страниц, троян крадет их и отправляет кибер-преступнику.
Этот веб-сервер также позволяет злоумышленнику получить удаленный контроль над зараженным компьютером. Он делает это, устанавливая созданное на PHP приложение phpRemoteView. Briz.R также скачивает компонент под названием smss.exe, который изменяет системный hosts-файл. Эти модификации блокируют доступ к большому количеству веб-страниц, относящихся к ИТ-безопасности.