Вирус способен похищать данные web-форм, подменять содержимое web-страниц и похищать пароли FTP-клиентов. Эксперты из антивирусной компании «Доктор Веб» зафиксировали волну распространения нового банковского трояна BackDoor.Bebloh.17. Целевой аудиторией вредоносного приложения являются пользователи систем дистанционного банковского обслуживания. Основные возможности Bebloh включают весь функционал, характерный для банковских троянов, в том числе хищение паролей популярных FTP-клиентов, данных, заполняемых в web-формах браузера, а также подмену содержимого web-страниц. Кроме того, вирус может собирать адреса электронной почты.
«Троянец также способен выполнять поступающие извне команды, в том числе задачу по обновлению вредоносной программы, а также получать параметры для выполнения веб-инжектов», – уточняют в «Доктор Веб».
Bebloh распространяется в виде вложения в электронных письмах, присылаемых якобы от имени службы доставки DHL. После запуска в операционной системе, троян создает собственную копию в одной из системных папок, после чего удаляет исходный файл.
Далее вредоносное приложение встраивается в процессы winlogon.exe, svchost.exe и explorer.exe, а также, если таковые запущены, пытается встроиться в Windows Messenger, популярные браузеры, почтовые клиенты и FTP-клиенты.
«Троянец регулярно осуществляет проверку своего наличия в зараженной системе и восстанавливает модифицированные им ветви системного реестра в случае их правки или удаления», – отмечают эксперты.