Вредоносная программа StrelaStealer с русскими корнями, угрожает пользователям почтовых клиентов microsoft и mozilla
Согласно аналитикам компании DCSO CyTec в сети появился новый вредоносная программа крадущая персональные данные с заражённых компьютеров. Согласно последним отчётам, нападению подверглись почтовые клиенты microsoft outlook и mozilla. А согласно социальным опросам, этими клиентами пользуются более 35% иностранных пользователей.
Вирус получил название StrelaStealer и распространяется почтовым вложением в виде файла ISO, при этом размер содержимого всегда меняется. Пользователи отмечают, что в некоторых ISO файлах содержится дополнительный файл msinfo32.exe, который после запуска подгружает дополнительные файлы вируса с перехватом Dll.
Некоторым пользователям достался более извращённый образ ISO запятая в котором содержались файлы LNK ("Factura.lnk") и HTML ("x.html"). последний из которых представляет собой файл "полиглот" способны открываться в некоторых программах одновременно запуская DLL библиотеку. А уже после запуска через rundll32.exe подгружалось тело вредоносной программы.
После запуска на выполнение вируса он подгружает базу данных паролей размещённых в корневом каталоге почтового клиента, а после поиска последних переносит их на свой сервер для дальнейшей расшифровки и анализа. Даже при использовании стандартного шифрования, это не поможет избежать взлома системы потому как вредонос может использовать функцию дешифровки WindowsCryptUnprotectData. Причём, дешифровка может производиться как на сервере мошенников, так и на зараженном компьютере и всё зависит от скорости работы конечного устройства. Возможности обнаруженного вируса безграничны и в большей части он справляется с многими системами защиты и сложными паролями.
Отмечается, что вредонос целенаправленно поражает компьютеры определённых компаний или людей, действуя выборочно и избегая ненужной информации.
В данный момент, вирус активизировался в испанском до меня и уже заражено более полумиллиарда персональных компьютеров и серверов.