Обнаружен новый троян из семейства Boleto

028 Как сообщает компания RSA, исследования выявили новый тип вируса-троянца, который несколько видоизменён по сравнению с остальными троянами из семейства Boleto. Модифицированный код способен быстро менять своё поведение, атакуя пользователя различными способами. Определяются они моделью браузера, который используется на компьютере жертвы.

В отличие от своего предшественника Eupuds, новый троян Onyx сложнее выявлять антивирусными программами, поскольку он успешно маскируется, видоизменяя алгоритм работы. И если Eupuds просто встраивал новый код в память браузера пользователя, а затем начинал выполнять его, то алгоритм действия Onyx выглядит куда интереснее. Вначале происходит верификация браузера, в зависимости от производителя (IE, Firefox, Opera, Chrome и т.д.), а затем выбирается оптимальный механизм для атаки. Возможно и традиционное встраивание в память программы.

Таким образом, в Chrome и Firefox происходит добавление нового вредоносного расширения в браузер, откуда и ведётся работа. Достаточно вовремя заметить и удалить это расширение. А вот в IE троян осуществляет атаку при помощи встроенного интерфейса типа COM, который изначально предусматривается в этом браузере. Также Onyx не видоизменяет банковский код, присутствующий в Boleto. Зато он способен нанести повреждения штрих-коду, производя генерацию случайных полосок, подменяя первоначальное изображение на них. Также для загрузки картинки может использоваться сторонний вредоносный сервер.