Odkrycie trojana zagrażającego SAP

Rosyjska firma antywirusowego Doctor Web ostrzega użytkowników o złośliwym programie, który celują w oprogramowanie dla przedsiębiorstw SAP. Szkodnik ten jest członkiem rodziny trojanów szeroko nazwanych w bankowościTrojan.PWS.Ibank. Programy te kradną hasła wprowadzanych przez użytkowników, jak i inne poufne informacje.

Analitycy Doctor Web witryny przeprowadzili kompleksowe badanie tego zagrożenia. W porównaniu z innym złośliwym oprogramowaniem rodziny Trojan.PWS.Ibank, gatunek ten posiada zmodyfikowaną architekturę bota; jej procedury IPC (komunikacja między procesami) zostały zmienione, a jego podprogramy SOCKS5 zostały usunięte.

W tym samym czasie, wewnętrzne rutynowe szyfrowanie trojana pozostało niezmienione. Ponadto, podobnie jak w innych programach Trojan.PWS.Ibank, ładunek malware jest zapakowany w oddzielnej bibliotece dołączanej dynamicznie i wykorzystuje ten sam protokół do komunikacji z dowództwem intruzów i serwerem sterującym.

Trojan działa w wersjach 32 - bitowych i 64 - bitowych systemach Windows i używa różnych metod do kompromisu z różnych platform. Główny moduł trojana może wykonać dwa nowe polecenia (w porównaniu z poprzednimi wersjami Trojan.PWS.Ibank).

Inną ważną cechą malware Trojan.PWS.Ibank jest jego zdolność do wstrzykiwania swojego kodu do różnych procesów. Zaktualizowana wersja posiada również dodatkowe procedury w celu zweryfikowania nazwy uruchomionych aplikacji, w tym oprogramowania dla firm SAP. Suite SAP zawiera wiele komponentów do zarządzania podatkami, sprzedaży i obrotu, a zatem obsługuje duże ilości poufnych informacji.

Pierwsza wersja trojana, która sprawdza dostępność oprogramowania SAP w zainfekowanym systemie, rozprzestrzeniała się za pośrednictwem Internetu. Najnowsza modyfikacja jest oznaczona jako Trojan.PWS.Ibank.752.

Przypomnijmy, że programy Trojan.PWS.Ibank zawierają szeroki wachlarz szkodliwych funkcji, do których należą:

  • Kradzież haseł wprowadzanych przez użytkowników i przesyłania danych do przestępców.
  • Blokowanie dostępu do stron internetowych antywirusowych firmy.
  • Wykonywania poleceń z serwera C&C
  • Uruchamianie serwera proxy i serwer VNC na zainfekowanym komputerze.
  • Zadaje nieodwracalne uszkodzenie systemu operacyjnego lub sektorów startowych.

źródło: Dr Web



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.