[ksoft] Червь rootkit.hearse отсылает пользовательские пароли на русский серве
Привет, All!
Антивирусная компания Sana Security сообщила об обнаружении нового трояна,
получившего название
http://www.sanasecurity.com/common/files/security_alerts/Security_Advisory_rootkit_hearse.pdf
rootkit.hearse (файл в формате PDF) и распространяющегося вместе с червём Win32.Alcra
и руткитом, скрывающим вредоносную деятельность от антивирусного ПО. Попав на
компьютер, троян собирает пароли к сетевым ресурсам, которые посещает пользователь,
и отсылает на сервер,который, по словам специалистов Sana Security, функционирует
в России с 16 марта этого года. Червь состоит из двух компонентов (драйвера zopenssld.sys
и библиотеки zopenssl.dll) располагающихся в директории System32.
Большую часть времени троян бездействует, "просыпаясь" для связи с сервером
лишь во время ввода пользователем пароля для доступа к какому-либо сетевому ресурсу.
Троян способен не только перехватывать пароли в момент их ввода с клавиатуры,
но и копировать их при использовании в браузере функции автозаполнения.
По состоянию на начало текущей недели, лишь 5 из 24 протестированных экспертами
Sana Security антивирусных пакетов сумели определить присутствие в системе подозрительной
активности. К началу недели на упомянутом сервере хранилось уже около 35000 уникальных
пользовательских записей, которые можно использовать для доступа к более чем
7000 веб-сайтов, среди которых есть и онлайновые банковские ресурсы. Эксперты
Sana Security поставили в известность неназванного российского провайдера, занимающегося
хостингом сервера, однако,насколько известно, он по-прежнему функционирует.
