Червь rootkit.hearse отсылает пользовательские пароли на русский сервер
24.03.2006
Антивирусная компания Sana Security сообщила об обнаружении нового трояна, получившего название rootkit.hearse (файл в формате PDF) и распространяющегося вместе с червём Win32.Alcra и руткитом, скрывающим вредоносную деятельность от антивирусного ПО. Попав на компьютер, троян собирает пароли к сетевым ресурсам, которые посещает пользователь, и отсылает на сервер, который, по словам специалистов Sana Security, функционирует в России с 16 марта этого года. Червь состоит из двух компонентов (драйвера zopenssld.sys и библиотеки zopenssl.dll) располагающихся в директории System32.
Большую часть времени троян бездействует, "просыпаясь" для связи с сервером лишь во время ввода пользователем пароля для доступа к какому-либо сетевому ресурсу. Троян способен не только перехватывать пароли в момент их ввода с клавиатуры, но и копировать их при использовании в браузере функции автозаполнения.
По состоянию на начало текущей недели, лишь 5 из 24 протестированных экспертами Sana Security антивирусных пакетов сумели определить присутствие в системе подозрительной активности. К началу недели на упомянутом сервере хранилось уже около 35000 уникальных пользовательских записей, которые можно использовать для доступа к более чем 7000 веб-сайтов, среди которых есть и онлайновые банковские ресурсы. Эксперты Sana Security поставили в известность неназванного российского провайдера, занимающегося хостингом сервера, однако, насколько известно, он по-прежнему функционирует.
