Троянец Dande крадет информацию у российских фарм-компаний
Троянец Dande крадет информацию у российских фарм-компаний
Троянец Dande крадет информацию у российских фарм-компаний
05.07.2012
Впервые появление узкоспециализированной троянской программы BackDoor.Dande, предназначенной для кражи информации у представителей российских фармацевтических компаний, было зафиксировано еще в ноябре прошлого года. Сейчас с использованием технологии sinkhole специалистам компании "Доктор Веб" удалось установить полный контроль над ботнетом Dande, благодаря чему в течение полугода аналитики имели возможность наблюдать за поведением этой бот-сети. Можно смело сказать, что на протяжении этого периода троянцы семейства BackDoor.Dande ничуть не утратили своей активности.
BackDoor.Dande — довольно сложный многокомпонентный троянец, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря этому детектировать данные вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно в силу уникальности ключа. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего ее становится невозможно отличить от незараженной библиотеки по формальным признакам, характерным для вирусных инфекторов.
Для установки в систему BackDoor.Dande использует стандартную библиотеку system32msi.dll. Дроппер троянца встраивает вредоносный код в системную службу MSIServer, с помощью которой осуществляется дальнейшее заражение рабочей станции. Так, загружаясь в оперативную память, модуль инфектора проверяет версию операционной системы, в которой запущен троянец: если это Microsoft Windows XP, происходит заражение библиотеки advapi32.dll, в ОС более старших версий заражается библиотека kernelbase.dll — в эти библиотеки встраивается модуль бэкдора, выполняющего поступающие от удаленных серверов команды и осуществляющего загрузку дополнительных компонентов троянца.
После успешной установки и запуска бэкдора он подключается к удаленным управляющим серверам и передает информацию об инфицированном компьютере, после чего по команде загружает и запускает программу-шпион Trojan.PWS.Dande. Основное предназначение этой программы — кража данных клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. К таким приложениям относятся специализированная конфигурация "Аналит: Фармация 7.7" для платформы 1С, "Система электронного заказа" СЭЗ-2 производства компании "Аптека-Холдинг", программа формирования заявок компании "Российская Фармация", система электронного заказа фармацевтической группы "Роста", программа "Катрен WinPrice" и некоторые другие. Среди собираемых данных — сведения об установленном на компьютере программном обеспечении, пароли учетных записей и т. д. Вся похищенная информация передается на сервер злоумышленников в зашифрованном виде. Если интересующей вирусописателей информации на зараженной машине не обнаруживается, троянец с помощью встроенных модулей аккуратно излечивает ранее зараженные им же системные библиотеки и самоудаляется.
Исходя из того, что троянец продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов, можно предположить, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На начало июля 2012 года таковых насчитывается 2857, причем 2788 (98,5%) из них расположено на территории России, остальные располагаются в других государствах. Распределение ботнета по городам РФ показано на предложенной ниже иллюстрации.
В настоящее время рост ботнета продолжается, однако в силу специфики самого бэкдора число регистраций новых инфицированных компьютеров в сети сейчас не превышает 1–2 в сутки. Эти цифры могут в целом свидетельствовать о том, что представители фармацевтической индустрии недостаточно серьезно относятся к вопросам информационной безопасности и пренебрегают использованием современных средств антивирусной защиты.
Copyright © 2018-2022, ООО "ГРОТЕК"