21.04.2016 Новости, БезопасностьПо сообщению компании «Доктор Веб», ее вирусные аналитики изучили модификацию банковского троянца Trojan.Gozi (исходные коды которого некоторое время назад были опубликованы в свободном доступе). Программа, работающая на компьютерах под управлением 32- и 64-разрядных версий Windows, реализует чрезвычайно широкий набор функций. Trojan.Gozi позволяет похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать в просматриваемые на зараженном компьютере Web-страницы постороннее содержимое (выполнять Web-инжекты). Кроме того, с помощью Trojan.Gozi киберпреступники могут получить удаленный доступ к рабочему столу зараженной машины с использованием технологии Virtual Network Computing (VNC). Этот троянец по команде может запустить на инфицированном ПК прокси-сервер SOCKS, а также загружать и устанавливать различные плагины. Как многие современные вредоносные программы, для определения адресов своих управляющих серверов Trojan.Gozi использует специальный алгоритм генерации доменов – Domain generation algorithm (DGA). Для этого он загружает с сервера NASA текстовый файл, используемый в качестве словаря, преобразует его с учетом текущей даты и на основе полученных значений формирует доменные имена, которые будет использовать в качестве адресов управляющих серверов. Trojan.Gozi автоматически меняет управляющий сервер каждые 15 дней. Вся информация, которой он обменивается со своими командными ...
читать далее.