Троянец URLzone оставил преследователей с носом // 23 Декабря 2012

Хитроумная троянская программа продемонстрировала еще одну сторону таланта своих создателей. Ее авторы не только тщательно продумали механизмы хищения средств с банковских счетов пострадавших, но и заранее предусмотрели весьма остроумный ответ своим преследователям.

Специалисты компании RSA Security, изучающие работу троянца URLzone Trojan, о котором мы писали несколько дней назад, столкнулись с тем, что созданный ими в исследовательских целях аналог вредоносной программы получает от управляющего сервера фальшивые номера счетов для перечисления украденных средств. Как оказалось, авторы мошеннической схемы тщательно продумали свои действия на случай провала, разработав целую серию тестов, позволяющих определить, находится ли их программа «под колпаком» или нет.

В частности, каждому зараженному компьютеру присваивается уникальный идентификатор, который используется в сеансах связи с управляющим сервером. Список выданных идентификаторов хранится на сервере и используется для проверки легитимности обращающихся к нему троянцев. Если сервер получает неизвестный или подозрительный идентификатор, то троянцу отправляются фальшивые банковские реквизиты для перевода украденных средств. Однако эти реквизиты генерируются не случайным образом, а берутся из базы данных реальных счетов, которые уже были обчищены программой ранее.

По материалам wired.com.