Dr.Web: троян BackDoor.Dande.2 инфицировал системы 400 российских аптек

Dr.Web: троян BackDoor.Dande.2 инфицировал системы 400 российских аптек

Эксперты из компании Dr.Web сообщили об обнаружении трояна BackDoor.Dande.2, инфицировавшего около 400 компьютеров в аптеках на юге России. Данный вредонос является модификацией более раннего трояна BackDoor.Dande и разработан для хищения данных из приложения "АИАС ИНПРО-ФармРынок" от компании "Информационные Технологии", используемого аптеками для закупки лекарственных препаратов.

Эксперты сообщили, что вредоносное ПО семейства BackDoor.Dande заражает компьютеры, работающие под управлением Windows. Первый вариант трояна способен похищать информацию из широкого круга приложений ("Аналит: Фармация" для платформы 1С, "Система электронного заказа" СЭЗ-2, программа формирования заявок компании "Российская Фармация", система электронного заказа фармацевтической группы "Роста", программа "Катрен WinPrice" и пр.).

BackDoor.Dande.2 состоит из двух драйверов. Один из них размещается в файле rpcssprt.sys или isaPnpPrt.sys и предназначен для загрузки другого, с тем же именем, но с расширением .cfg. В случае расшифровки файла с полезной нагрузкой он распаковывается и загружается в память. Оба файла имеют цифровой сертификат, подписанный SPВ Group OOO. Эксперты обратили внимание на то, что в свойствах isaPnpPrt.sys указывается, будто он является драйвером ATAPI от Microsoft.

Основной драйвер трояна, созданный на базе руткита Blackreleaver, используется также другим вредоносным ПО - Trojan.Spambot, BackDoor.BlackEnergy и BackDoor.Bulknet. Он работает следующим образом: создает в системе новое виртуальное устройство, которое по команде хакера может удалять с диска драйвер и связанные с ним данные из системного реестра, получать из реестра значения ID вредоносного ПО, повышать привилегии для текущего процесса и пр. Необходимые для своей работы параметры вредоносный драйвер сохраняет в системном реестре Windows.

Источник:
securitylab.ru