Delphi_n - Новости информационных технологии

Изучив данную угрозу, специалисты Symantec пришли к выводу о том, что Trojan.Neloweg работает таким же образом, как и другой банковский троян — Zeus. Обе вредоносные программы определяют, на каком сайте находится пользователь и добавляют туда специальный JavaScript. Но в отличие от Zeus, который использует свой файл конфигурации, Trojan.Neloweg хранит данные на вредоносном сервере. При переходе на известную страницу банка, Trojan.Neloweg маскирует часть страницы белым цветом, используя скрытый тег DIV, и запускает свой код JavaScript, расположенный на специальном сервере.

Как удалось выяснить специалистам Symantec, чаще всего троян атакует браузеры, использующие движки Trident (Internet Explorer), Gecko (Firefox), и WebKit (Chrome/Safari). По данным компании, троян стремится украсть не только банковские реквизиты, но также другие логины и пароли. Чтобы добиться этого вирусописатели наделили Trojan.Neloweg способностью придавать браузерам функции ботов.

Firefox с функциями бота

Как видно на скриншоте, браузер (в данном случае Firefox) теперь может работать как бот и выполнять команды. Например, браузер может обработать контент страницы, на которой находится, перенаправить пользователя на другую страницу, украсть пароли, запустить приложение или даже уничтожить себя. Функция самоуничтожения, по мнению специалистов Symantec, несколько избыточна, так она удаляет критически важные системные файлы и не дает пользователю войти в систему.

Между тем, способ интеграции в Firefox также уникален. Ранее можно было наблюдать угрозы, которые создают вредоносные дополнения браузеров. Поэтому пользователи, отключившие плагины, могли чувствовать себя в безопасности. Но с Trojan.Neloweg такие меры бесполезны. Являясь компонентом, он не отображается на панели расширений Firefox в отличие от других дополнений и плагинов. Более того, используя архитектуру Firefox, Neloweg заново себя создает или устанавливает при каждом подключении Firefox к интернету, сообщили Symantec.