Троян в картинках

В Интернете распространяется троянская программа, которая прячет свои вредоносные модули во вполне безобидных, как кажется, изображениях формата PNG. Об этом сообщили аналитики SecureWorks – дочерней компании Dell. Как пишет CNews со ссылкой на специалистов компании, троян носит название Stegoloader.

За последние три месяца больше всего заражений пришлось на компании в сфере здравоохранения (42%), финансовые институты (13%), производственные предприятия (9%), предприятия в нефтегазовой отрасли и ИТ-компании (3%). Среди стран лидируют США (67%), Чили (9%) и Малайзия (2%).

Stegoloader известен также под названием Win32/Gatak.DR и Tspy_Gatak.GTK. Он распространяется посредством пиратских ресурсов в генераторах ключей к программному обеспечению. Попав в систему, зловред подгружает с безопасных источников PNG-изображения со спрятанными в них модулями.

Эксперты отмечают, что изображения, загруженные трояном, выглядят как вполне обычные, однако в их пикселях записан код модулей Stegoloader. Считывая его и подключая модули, троян «собирает» себя прямо в оперативной памяти персонального компьютера.

Ход подключения модулей отправляется на командно-контрольный сервер злоумышленников с помощью HTTP-запросов. С этого же сервера троян получает команды на выполнение. Собрав себя по частям, программа начинает похищать с компьютера и отправлять на удаленный сервер различную информацию, в том числе историю веб-серфинга, пароли, списки недавно открытых документов.

При этом Stegoloader оснащен рядом механизмов защиты от обнаружения. В частности, перед подключением вредоносных модулей он проверяет, не находится ли в среде эмулятора антивирусной программы.

В Сети в последние годы было замечено еще несколько опасных троянов подобного рода. Аналитики считают, что техника скрытия вредоносного кода в изображениях будет со временем набирать все большую популярность.