Специалисты компании «Доктор Веб» обнаружили вредоносную программу BackDoor.Dande нацеленную на компьютеры, работающие на базе операционной системы Windows XP/Server 2003. Этот бэкдор загружает и активирует в системе троянскую программу, которая похищает информацию из клиентских программ «Систем электронного заказа», использующихся фармацевтическими компаниями. Программы данного семейства включают специализированную конфигурацию «Аналит: Фармация 7.7» для платформы 1С, «Систему электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программу формирования заявок компании «Российская Фармация», систему электронного заказа фармацевтической группы «Роста», программу «Катрен WinPrice» и пр.
Оказавшись в компьютерной системе, BackDoor.Dande, который написан на языке С, определяет имя текущего пользователя и версию ОС. Если это Windows XP или Windows Server 2003, бэкдор подключается к удаленному командному серверу и загружает оттуда зашифрованный конфигурационный файл c троянской программой Trojan.PWS.Dande. Данная вредоносная программа дешифруется и сохраняется на компьютере пользователя. Помимо этого, бэкдор также способен выполнять исходящие от командного сервера указания, к примеру команды на загрузку, сохранение и запуск модуля Trojan.PWS.Dande, удаление этого модуля, а также запись определенной информации в конфигурационный файл и пр.
Эксперты компании «Доктор Веб» отмечают, что троянская программа инфицирует библиотеку advapi32.dll, загружаемую во все запущенные на системе процессы. Поэтому вредоносный код легко встраивается во все запущенные процессы.
Согласно информации «Доктор Веб», целью Trojan.PWS.Dande являются данные, которые используются фармацевтическими компаниями и аптеками для осуществления заказов у поставщиков медицинских препаратов. Троянская программа собирает данные об установленном на зараженном компьютере программном обеспечении, учетные данные, а также информацию о ценах и объемах заказов медикаментов. Все похищенные сведения передаются на командный сервер в зашифрованном виде.
Источник: SecurityLab
|