Лаборатория PandaLabs обнаружила мошенничество с использованием версии I трояна Briz. По данным лаборатории, со страницы, которую использовали злоумышленники для контроля сети, заражено было около 2,700 компьютеров более чем в 120 странах.

Создатель (или создатели) этой недавно найденной сети распространяли Briz.I с определенных веб-страниц - в основном с нелегальным или порнографическим контентом. PandaLabs в данный момент работает вместе с прочими компаниями безопасности для идентификации и закрытия всех сайтов, относящихся к этой сети и предотвращения распространения угрозы.

Появление нового трояна Briz.I может быть последствием аферы по созданию и продаже адаптированных версий Briz, недавно обнаруженной PandaLabs. Луис Корронс, директор лаборатории PandaLabs: “…возможно, что создатель изначального трояна решил напрямую обогатиться используя те же трояны, какие он продавал ранее. Briz.I может быть новой версией одного из образцов, которые продавались ранее ".

Briz.I проникает в системы под именем “iexplore.exe”, симулируя процесс Internet Explorer. Попав в систему, он скачивает файл, отправляющий на сайт злоумышленника информацию, включающую IP-адрес и страну зараженного компьютера. Другой его компонент интегрируется в Internet Explorer, захватывая всю информацию, вводимую пользователями в онлайновых формах, такую, как пароли на почту, или регистрационные данные онлайновых банковских услуг. Этот вредоносный код позволяет использовать компьютер в качестве шлюза для подключения к другим страницам и маскирует личность злоумышленника, который способен удаленно осуществлять доступ к файлам на локальном компьютере.

Briz.I специально разрабатывался с целью оставаться незамеченным пользователями и антивирусными компаниями. Он достигает этого, 'заметая следы’ после выполнения задач каждого компонента. Он также изменяет hosts-файл Windows для предотвращения доступа пользователей к веб-страницам антивирусных компаний и отключает брандмауэр Windows.

Инф. СyberSecurity