Червь rootkit.hearse отсылает пользовательские пароли на русский сервер

Ни чего се червь, или слабые сервера.


Червь rootkit.hearse отсылает пользовательские пароли на русский сервер

Антивирусная компания Sana Security сообщила об обнаружении нового трояна, получившего название rootkit.hearse (файл в формате PDF) и распространяющегося вместе с червём Win32.Alcra и руткитом, скрывающим вредоносную деятельность от антивирусного ПО. Попав на компьютер, троян собирает пароли к сетевым ресурсам, которые посещает пользователь, и отсылает на сервер, который, по словам специалистов Sana Security, функционирует в России с 16 марта этого года.

Червь состоит из двух компонентов (драйвера zopenssld.sys и библиотеки zopenssl.dll) располагающихся в директории System32.

Большую часть времени троян бездействует, просыпаясь для связи с сервером лишь во время ввода пользователем пароля для доступа к какому-либо сетевому ресурсу. Троян способен не только перехватывать пароли в момент их ввода с клавиатуры, но и копировать их при использовании в браузере функции автозаполнения.

По состоянию на начало текущей недели, лишь 5 из 24 протестированных экспертами Sana Security антивирусных пакетов сумели определить присутствие в системе подозрительной активности. К началу недели на упомянутом сервере хранилось уже около 35000 уникальных пользовательских записей, которые можно использовать для доступа к более чем 7000 веб-сайтов, среди которых есть и онлайновые банковские ресурсы.

Эксперты Sana Security поставили в известность неназванного российского провайдера, занимающегося хостингом сервера, однако, насколько известно, он по-прежнему функционирует.

Источник -Compulenta

Похожие статьи:

Читайте также: