Eksperci z firmy Palo Alto Networks zidentyfikowali nowy typ trojana, który może robić zrzuty ekranu i przechowywać rozmowy ze Skype'a.

W chwili obecnej znane programy antywirusowe jak Kaspresky Lab czy Doctor Web nie wykrywają tego zagrożenia. Wg Palo Alto Networks trojan jest spadkobiercą koni trojańskich T5000 i T9000 rozpoznanych w 2013 roku. Rozprzestrzenia się on poprzez wiadomości e-mail z załącznikiem w formacie RTF.

Programy antywirusowe nie wykrywają szkodnika przez zastosowanie w szkodniku systemu stealth. Ukrywa ono złośliwe oprogramowanie w momencie, kiedy zostaje wprowadzony do systemu, a także posiada szereg narzędzi ukrywających aktywność trojana.

"Po zainstalowaniu się trojan zaczyna wykonywać zrzuty ekranu i wysyła je na zdalny serwer. Na serwerze dane są analizowane i jeśli np. ktoś wprowadzi w tym czasie hasło, które jest wyświetlane na ekranie napastnicy mogą uzyskać dostęp do poufnych danych".

Kolejnym złośliwym zachowaniem trojana jest uzyskanie dostępu do programu Skype podszywając się pod proces explorer.exe. Wysyła on prośbę o udzielenie dostępu, jeżeli użytkownik nieświadomy sytuacji wyrazi zgodę to złośliwe oprogramowanie uzyskuje pełen dostęp do aplikacji Skype. Trojan rejestruje korespondencję oraz połączenia głosowe i wideo.

Nagrania z rozmów przechowywane są w folderze %APPDATA%\Intel\Roaming\Skype. Dane są przekazywane na zdalny serwer, gdzie napastnicy mogą je wykorzystać do szantażowania użytkownika.

Obecnie warto sprawdzać przed otworzeniem nieznaną korespondencję i plikiem o rozszerzeniu RTF w celu ochrony przed trojanem.

Źródło: igeek.ru