Опаснейший банковский вирус Bolik атакует российских Windows-пользователей

«Доктор Веб» предупреждает о появлении очень опасного полиморфного файлового вируса, способного красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой. Вредоносная программа получила название Bolik.

Зловред наследует некоторые технические решения широко известных банковских троянов Zeus (Trojan.PWS.Panda) и Carberp, но в отличие от них умеет распространяться без участия пользователя и заражать исполняемые файлы. Функция самораспространения активируется по команде злоумышленников, после чего Bolik начинает опрашивать доступные для записи папки в сетевом окружении Windows и на подключенных USB-устройствах, ищет хранящиеся там исполняемые файлы и заражает их. При этом вирус может инфицировать как 32-х, так и 64-разрядные приложения.

Если пользователь запустит инфицированное приложение, вирус расшифрует банковского трояна и запустит его прямо в памяти атакуемого компьютера, без сохранения на диск. При этом зловред имеет специальные механизмы, затрудняющие работу антивирусов: программа, в частности, может «на лету» изменять код и структуру собственной части, а в её архитектуре предусмотрены своеобразные «замедлители», состоящие из множества циклов и повторяющихся инструкций.

Основное назначение Bolik — кража различной ценной информации у клиентов российских банков. Для этого применяются разнообразные инструменты. Например, вирус может контролировать данные, передаваемые и отправляемые браузерами Internet Explorer, Chrome, Opera и Firefox. Благодаря этому троян способен похищать информацию, которую пользователь вводит в экранные формы.

Кроме того, в шпионский арсенал банкера входит модуль для создания снимков экрана (скриншотов) и фиксации нажатий пользователем клавиш (кейлоггер). Bolik умеет создавать на заражённой машине собственный прокси-сервер и веб-сервер, позволяющий обмениваться файлами со злоумышленниками.

Вирус способен организовывать так называемые «реверсные соединения»: с их помощью киберпреступники получают возможность «общаться» с заражённым компьютером, находящимся в защищённой брандмауэром сети или не имеющим внешнего IP-адреса, то есть работающим в сети с использованием NAT (Network Address Translation). Вся информация, которой Bolik обменивается с управляющим сервером, шифруется по сложному алгоритму и сжимается.

Источник: Dr. Web