Полиморфный файловый вирус атакует россиян, использующих Windows-устройства. Об этом сообщили представители компании «Доктор Веб», которая разрабатывает антивирусное ПО. Вредоносная программа, получившая название Bolik, следит за жизнью жертвы, собирая о ней информацию, и похищает средства с банковских счетов.
В работе вируса можно отследить технические решения для популярных троянов Zeus и Carberp, но для распространения и заражения исполняемых файлов ему не нужны юзеры – все выполняется в автоматическом режиме по команде злоумышленников. Как только Bolik попадает на ПК, он приступает к сканированию доступных сетевых папок, а также съемных USB-накопителей на предмет наличия в них исполняемых файлов. После обнаружения вирус заражает их независимо от того, это 32-х или 64-х разрядные приложения.
В случае если на компьютере запускается инфицированный исполняемый файл, Bolik автоматически расшифровывает банковский троян, который загружается в ОЗУ устройства без записи на постоянный накопитель.
Bolik создан для кражи важных данных у владельцев счетов в российских банках. Он делает это с помощью различных средств. Например, контролирует данные, передаваемые через все популярные браузеры: вирус похищает сведения, которые юзер вводит в экранных формах в личных кабинетах онлайн-банкинга.
Еще одно «умение» зловреда – он делает скриншоты и фиксирует нажатие клавиш юзеров (функция кейлоггер). Чтобы обеспечить беспрепятственную передачу данных злоумышленникам, Bolik создает на зараженном устройстве прокси-сервер и веб-сервер. К тому же он умеет обеспечивать реверсные соединения, которые обеспечивают «общение» между хакерами и зараженным ПК, даже если он работает в сети с помощью NAT. К тому же все данные, которые вирус отправляет злоумышленникам, сжимаются и кодируются сложным алгоритмом.
Особенность вредоносного ПО в том, что оно может в режиме реального времени изменять собственную структуру или код, из-за чего усложняется работа антивирусов. Помимо этого, в его архитектуре хакерами вшиты своего рода «замедлители» – повторяющиеся инструкции и множество циклов.
