«Доктор Веб» предупреждает о распространении вредоносной программы Trojan.MulDrop6.44482, предназначенной для внедрения на компьютер жертвы других зловредов, в том числе опасного шпиона, угрожающего бухгалтериям отечественных компаний.

Троян распространяется в виде приложения-установщика, которое при запуске проверяет наличие на инфицируемом компьютере антивирусов Dr.Web, Avast, ESET или Kaspersky: если таковые обнаруживаются, программа завершает свою работу. Троян также прекращает работу, если локализация Windows отличается от русскоязычной.

При помощи Trojan.MulDrop6.44482 злоумышленники распространяют вредоносные программы Trojan.Inject2.24412 и Trojan.PWS.Spy.19338. Первая предназначена для встраивания в запускаемые на зараженном компьютере процессы вредоносных библиотек.

Зловред Trojan.PWS.Spy.19338, в свою очередь, способен передавать киберпреступникам набираемый пользователем текст в окнах различных приложений, в том числе бухгалтерских. Троян, в частности, отслеживает активность пользователя в таких приложениях, как 1С версии 8, 1С версии 7 и 7.7, СБиС++, Skype, а также редакторах Microsoft Office.

Шпион запускается непосредственно в памяти атакуемого компьютера без сохранения на диск в расшифрованном виде, при этом на диске хранится его зашифрованная копия. Фиксирующий нажатия клавиш модуль-кейлоггер может передавать злоумышленникам данные из буфера обмена инфицированного компьютера. Троян также может запускать на заражённом ПК получаемые с управляющего сервера программы как с промежуточным сохранением их на диск, так и без него. Зловред состоит из нескольких модулей, каждый из которых выполняет собственный набор функций.

Вся информация, которой троян обменивается с управляющим сервером, шифруется в два этапа — сначала с использованием алгоритма RC4, затем — XOR. Записи о нажатиях клавиш зловред сохраняет на диске в специальном файле и с интервалом в минуту передаёт его содержимое на управляющий сервер.