Лаборатория PandaLabs обнаружила мошенничество с использованием версии I трояна Briz. По данным лаборатории, со страницы, которую использовали злоумышленники для контроля сети, заражено было около 2,700 компьютеров более чем в 120 странах.
Создатель (или создатели) этой недавно найденной сети распространяли Briz.I с определенных веб-страниц - в основном с нелегальным или порнографическим контентом. PandaLabs в данный момент работает вместе с прочими компаниями безопасности для идентификации и закрытия всех сайтов, относящихся к этой сети и предотвращения распространения угрозы.
Появление нового трояна Briz.I может быть последствием аферы по созданию и продаже адаптированных версий Briz, недавно обнаруженной PandaLabs. Луис Корронс, директор лаборатории PandaLabs: “…возможно, что создатель изначального трояна решил напрямую обогатиться, используя те же трояны, какие он продавал ранее. Briz.I может быть новой версией одного из образцов, которые продавались ранее ".
Briz.I проникает в системы под именем “iexplore.exe”, симулируя процесс Internet Explorer. Попав в систему, он скачивает файл, отправляющий на сайт злоумышленника информацию, включающую IP-адрес и страну зараженного компьютера. Другой его компонент интегрируется в Internet Explorer, захватывая всю информацию, вводимую пользователями в онлайновых формах, такую, как пароли на почту, или регистрационные данные онлайновых банковских услуг. Этот вредоносный код позволяет использовать компьютер в качестве шлюза для подключения к другим страницам и маскирует личность злоумышленника, который способен удаленно осуществлять доступ к файлам на локальном компьютере.
Briz.I специально разрабатывался с целью оставаться незамеченным пользователями и антивирусными компаниями. Он достигает этого, 'заметая следы’ после выполнения задач каждого компонента. Он также изменяет hosts-файл Windows для предотвращения доступа пользователей к веб-страницам антивирусных компаний и отключает брандмауэр Windows.
“Сегодняшней целью создателей вредоносного ПО является обогащение с помощью своих созданий, и поэтому они концентрируют свои усилия на скрытном внедрении вредоносного ПО, и, как в данном случае, пытаются захватить данные с целью проведения мошеннических действий", - объясняет Луис Корронс. - “Традиционные технологии обнаружения, использующие сигнатуры (подписи) вирусов, недостаточно эффективны для борьбы с этими угрозами. Для того, чтобы предотвратить такие «бесшумные» эпидемии, традиционные способы следует дополнять реагирующими технологиями, такими как TruPrevent, которые способны обнаруживать вредоносное ПО не идентифицируя его.”