Odkryto nowego trojana z rodziny Boleto

Jak donosi firma RSA, badania ujawniły nowy typ wirusa trojana, który jest nieco zmodyfikowany w porównaniu do pozostałych trojanów z rodziny Boleto. Zmodyfikowany kod jest w stanie szybko zmienić swoje zachowanie, atakując użytkownika na różne sposoby. Są one określane przez model przeglądarki, który jest używany na komputerze ofiary.

W przeciwieństwie do swojego poprzednika Eupuds, nowy Trojan Onyx jest trudniejszy do wykrycia przez programy antywirusowe, ponieważ z powodzeniem maskuje się, modyfikując algorytm działania. A jeśli Eupuds po prostu umieścił nowy kod w pamięci przeglądarki użytkownika, a następnie zaczął go wykonywać, algorytm działania Onyx wygląda o wiele bardziej interesująco. Najpierw następuje weryfikacja przeglądarki, w zależności od producenta (IE, Firefox, Opera, Chrome itp.), a następnie wybiera się optymalny mechanizm ataku. Możliwe jest również tradycyjne osadzanie w pamięci programu.

Tak więc w Chrome i Firefox dodaje nowe złośliwe rozszerzenie do przeglądarki, z której działa. Wystarczy zauważyć i usunąć to rozszerzenie na czas. Ale w IE Trojan atakuje za pomocą wbudowanego interfejsu typu COM, który jest początkowo przewidziany w tej przeglądarce. Również Onyx nie modyfikuje kodu bankowego obecnego w Boleto. Ale jest w stanie spowodować uszkodzenie kodu kreskowego, generując losowe paski, zastępując oryginalny obraz na nich. Ponadto, aby pobrać obraz może być używany przez szkodliwy serwer innej firmy.