Троянский вирус изменяет настройки браузеров

Автор
Троянский вирус изменяет настройки браузеров

Новый троянец представляет опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России.

Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой "Банк-Клиент" пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные, сообщили в антивирусной компании "Доктор Веб".

Вредоносная программа Trojan.Proxy.23968 создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков. Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы "Банк-Клиент", содержащую форму для ввода логина и пароля.

Система "Банк-Клиент" российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы "Банк-Клиент", которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании "Доктор Веб" были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО.

Фото : sibilev.net