Фармацевтический троян: медики в опасности!
Современные вирусы, написанные с толком, с точки зрения программирования становятся похожими на произведения искусства. Деструктивная программа BackDoor.Dande, написанная на C, будоражит воображение своими возможностями. Имея данный функционал, я могу предположить, что это преднамеренный заказ на ряд систем, используемых в фармацевтике. И так, попадая с систему, скрипт проверяет установлена ли копия трояна на данном компьютере, может определить имя текущей учетной записи и версию оси. Потом, в случае если установлены ОС Windows XP/Windows Server 2003, бэкдор удаленно связывается с управляющим сервером и подгружает сам исходник трояна Trojan.PWS.Dande, а также зашифрованный конфиг. файл, после чего они дешифруются и оседают где-то в недрах системы.
BackDoor.Dande это своего рода инструмент по управлению действиями троянского модуля, т.е. скачивание, сохранение, запуск, сбор статистики в конфиге и удаление, ну и ряд других действий. Заложенные в программу алгоритмы, способны указать бэкдору рабочий управляющий сервер, в случае если какой-нибудь из них не будет функционировать. Механизм встраивания очень хорошо продуман, заражение происходит в библиотеке advapi32.dll, с которой работают все процессы в системе, что значительно облегчает саму процедуру внедрения.
Теперь про Trojan.PWS.Dande, его основная функция – похищение данных клиентской базы систем электронного заказа, которыми пользуются фармацевтические компании, ряд аптек и фирм дилеров мед. препаратов.
В пределах юрисдикции трояна находятся следующие программные продукты:
- Спец. приложение «Аналит: Фармация 7.7» для 1С;
- Система эл. заказа СЭЗ-2 (производитель «Аптека-Холдинг»);
- Система формирования заявок (компания «Российская Фармация»);
- Система эл. заказа фарм. группы «Роста»;
- Программный комплекс «Катрен WinPrice» и т.д.
Какие данные перехватывает вирус:
- Про ПО, установленное на компьютере;
- Пароли пользователей и многое др.
Предполагается, что киберпреступников в первую очередь интересует информация о ценах и объемах поставок препаратов. Соответственно после сбора, все сведения шифруются и передаются на сервера. Получается, что данный вид троянской программы имеет узкую сферу использования, но я как человек отслеживающий такие новости могу сказать, что уже сейчас просматривается определенный почерк в алгоритмах таких вирусов, и уже давно не секрет, что на черном рынке частенько попадаются исходники довольно стоящих программ, которые в хитрых руках могут приобретать разные возможности и направление для поражения.
Компания Dr.Web уже позаботилась и добавила новый вирус в свои сигнатуры, для его лечения.