В интернете часто появляются те или иные вредоносные программы, использующие различные способы для нанесения ущерба. На этот раз троян создает прокси-сервер, перехватывающий трафик между клиентом и системой ДБО.

Производитель антивирусов Доктор Веб первым сообщил о банковском «вредителе». Он создает в компьютерной системе жертвы прокси-сервер, который будет использоваться в дальнейшем для передачи информации, связанной с дистанционной работой банковского обслуживания российских банков.

Студия Доктор Веб рассказала о действии нового троянца: «Оказавшись на компьютере жертвы, вирус изменяет параметры сетевого соединения, создавая ссылку на автоматическую настройку. С ее помощью на зараженный компьютер загружается файл, преобразовывающий соединение с интернетом через прокси-сервер злоумышленников. Он и направляет жертву на поддельную страницу системы «Банкиг-Клиент», на которой необходимо указать свой логин и пароль».

Так если системы ДБО используют зашифрованный протокол передачи данных HTTPS, то троян маскируется, устанавливая самоподписный цифровой сертификат. После чего пользователь видит в своем браузере страницу системы «Банк-Клиента» схожую с настоящим URL, причем само соединение осуществляется по протоколу HTTPS.

Эксперты утверждают, что даже после удаления с системы Trojan.Proxy.23968 в браузере сохраняются вредоносные настройки внесенные программой. Получается, что пользователь может стать жертвой мошенников даже после того, как полностью просканирует и очистит свою систему от вирусов.

добавлено: Tigeress