Фармацевтический троян: медики в опасности!
  • Категории
  • Подписка
  • Разместить статью
11/11/11 0 4456 Hack новости
-

Фармацевтический троян: медики в опасности!

Современные вирусы, написанные с толком, с точки зрения программирования становятся похожими на произведения искусства. Деструктивная программа BackDoor.Dande, написанная на C, будоражит воображение своими возможностями. Имея данный функционал, я могу предположить, что это преднамеренный заказ на ряд систем, используемых в фармацевтике. И так, попадая с систему, скрипт проверяет установлена ли копия трояна на данном компьютере, может определить имя текущей учетной записи и версию оси. Потом, в случае если установлены ОС Windows XP/Windows Server 2003, бэкдор удаленно связывается с управляющим сервером и подгружает сам исходник трояна Trojan.PWS.Dande, а также зашифрованный конфиг. файл, после чего они дешифруются и оседают где-то в недрах системы.

BackDoor.Dande это своего рода инструмент по управлению действиями троянского модуля, т.е. скачивание, сохранение, запуск, сбор статистики в конфиге и удаление, ну и ряд других действий. Заложенные в программу алгоритмы, способны указать бэкдору рабочий управляющий сервер, в случае если какой-нибудь из них не будет функционировать. Механизм встраивания очень хорошо продуман, заражение происходит в библиотеке advapi32.dll, с которой работают все процессы в системе, что значительно облегчает саму процедуру внедрения.

Теперь про Trojan.PWS.Dande, его основная функция – похищение данных клиентской базы систем электронного заказа, которыми пользуются фармацевтические компании, ряд аптек и фирм дилеров мед. препаратов.

В пределах юрисдикции трояна находятся следующие программные продукты:

  • Спец. приложение «Аналит: Фармация 7.7» для 1С;
  • Система эл. заказа СЭЗ-2 (производитель «Аптека-Холдинг»);
  • Система формирования заявок (компания «Российская Фармация»);
  • Система эл. заказа фарм. группы «Роста»;
  • Программный комплекс «Катрен WinPrice» и т.д.

Какие данные перехватывает вирус:

  • Про ПО, установленное на компьютере;
  • Пароли пользователей и многое др.

Предполагается, что киберпреступников в первую очередь интересует информация о ценах и объемах поставок препаратов. Соответственно после сбора, все сведения шифруются и передаются на сервера. Получается, что данный вид троянской программы имеет узкую сферу использования, но я как человек отслеживающий такие новости могу сказать, что уже сейчас просматривается определенный почерк в алгоритмах таких вирусов, и уже давно не секрет, что на черном рынке частенько попадаются исходники довольно стоящих программ, которые в хитрых руках могут приобретать разные возможности и направление для поражения.

Компания Dr.Web  уже позаботилась и добавила новый вирус в свои сигнатуры, для его лечения.

По материалам: expo-itsecurity.ru

Добавить комментарий

Яндекс.Метрика