В интернете появился опасный троян, который умеет не только искусно маскироваться, но и отсылать пользовательские пароли от различных ресурсов на российский сервер. Таким образом наши соотечественники уже успели украсть 35 тыс. паролей, предупреждает компания-разработчик антивирусов Sana Security.

Чтобы программа начала красть данные, пользователь вначале должен загрузить ее на свою систему. Для этого злоумышленники с помощью различных ухищрений заставляют пользователя загрузить вредоносный код или для начала заражают компьютер какой-либо другой формой вируса. После установки в системе программа отправляет конфиденциальную информацию на сервер в России, который, по данным Sana, начал работу 16 марта.

Программа состоит из двух компонентов: «троянца», устанавливающего связь с русским сервером, и руткита, маскирующего троянскую часть от антишпионских и антивирусных программ. По наблюдениям Sana, данная программа загружается совместно с червем Win32.Alcra.

«Троянец» большую часть времени проводит в фоновом режиме, но как только пользователь заходит на веб-страницу, требующую идентификации, он активизируется и устанавливает связь с русским сервером. Программа может считывать сохраненные в системе пароли, а также по мере их ввода. К настоящему моменту на русский сервер отправилась информация примерно о 35 тыс. уникальных имен и паролей пользователей, с помощью которых можно войти почти на 7 тыс. различных веб-сайтов, включая банковские и аукционные, сообщил г-н Горелик.

Rootkit.hearse пользуется теми же приемами маскировки, что и скандально известная программа XCP (расширенная защита от копирования, Extended Copy Protection), предназначенная для защиты от копирования музыкальных дисков Sony BMG Music Entertainment. Это усложняет ее обнаружение в системе, говорит эксперт Sana Влад Горелик (Vlad Gorelik). К вечеру понедельника только пять из 24 антивирусных и антишпионских продуктов, протестированных Sana, смогли обнаружить rootkit.hearse, хотя их число, несомненно, возрастет, по мере распространения информации о рутките.

В понедельник Sana проинформировала о происходящем российского провайдера, у которого размещен сайт хакеров. При этом Sana не называет имя провайдера. Утром во вторник русский сервер все еще работал.

Новость взята с Cnews.ru