Prymitywnie zaprojektowane Trojany stanowią znaczną część szkodliwego oprogramowania otrzymanego do analizy przez laboratoria antywirusowe. Kompleksowe, wieloskładnikowe programy pojawiają się znacznie rzadziej. Do tej ostatniej kategorii należy odkryty niedawno Trojan.PWS.Papras.4, posiadający niezwykle obszerny zestaw złośliwych funkcji. Należą do nich: kradzież haseł używanych w różnych aplikacjach, przesyłanie cyberprzestępcom danych wprowadzanych przez użytkowników w formularzach internetowych oraz umożliwienie zdalnego kontrolowania zainfekowanego urządzenia.
Trojan.PWS.Papras.4 działa na zasadzie aplikacji o charakterze zdalnego narzędzia administracyjnego (ang. RAT, Remote Administration Tool). Umożliwia to napastnikom dostęp do zainfekowanego komputera bez wiedzy użytkownika. Trojan składa się z kilku elementów. Jednym z nich jest tzw. dropper, który po swoim uruchomieniu rozpakowuje w jednym z plików systemowych kolejny moduł i, w zależności od uprawnień aktualnego użytkownika Windows, modyfikuje odpowiednią gałąź rejestru systemowego, odpowiedzialnego za automatyczne uruchamianie programów. Moduł ten pobiera i wypakowuje główne elementy trojana, a następnie wbudowuje je we wszystkie uruchomione procesy, z wyjątkiem nielicznych procesów o charakterze systemowym. Tym sammy stanowi poważne zagrożenie dla wszystkich rodzajów systemu Windows.
Trojan, przed którym ostrzegła nas firma Doctor Web, zapewnia funkcjonowanie kilku modułów na zainfekowanym komputerze –. jeden z nich jest odpowiedzialny między innymi za uruchomienie serwera VNC, umożliwiającego zdalny dostęp do zarażonej maszyny, inny za pracę serwera Socks Proxy. Kolejny moduł umożliwia wbudowywanie obcych treści w przeglądane przez użytkowników strony. Moduł pomocniczy (tzw. grabber) przeznaczony jest do przekazywania przestępcom danych wpisywanych w formularze internetowe przez użytkownika korzystającego z popularnych przeglądarek (Microsoft Internet Explorer, Mozilla Firefox, Google Chrome). Z kolei moduł Stealer umożliwia przechwytywanie i przekazywanie cyberprzestępcom haseł do różnych popularnych programów, takich jak np. klient pocztowy czy FTP. Dodatkowo tzw. moduł backconnect umożliwia zarządzanie zainfekowanym komputerem nawet przy włączonym firewallu. Do zainfekowania urządzenia może dojść w trakcie korzystania z popularnych aplikacji lub z portali, na których wymagane jest
uzupełnienie formularza z danymi personalnymi.
Trojan ten stanowi poważne zagrożenie z powodu szeregu funkcji zaprojektowanych w celu kradzieży poufnych informacji. Mogą one być wykorzystywane przez przestępców m.in. w celu uzyskania nieautoryzowanego dostępu do zainfekowanego komputera, w tym do historii wyszukiwania, plików cookies czy do kont ofiary trojana na różnych stronach.
Źródło: Doctor Web / JG, WP.PL
