В начале ноября появился троянец, который ориентировался исключительно на приложения, которыми пользуются фармацевтические компании. При запуске на инфицированном ПК программа BackDoor.Dande самочтоятельно определяет имя текущего пользователя и версию операционной системы, установленной на компьютере. Если оказывается, что троянец попал на Windows XP или Windows Server 2003, то бэкдор устанавливает соединение с удаленным управляющим сервером и загружает оттуда зашифрованный конфигурационный файл. Кроме файла, на ПК попадает код троянской программы Trojan.PWS.Dande. Троянец дешифруется, и выполняется его сохранение в одной из папок. Бэкдор способен выполнять указания, поступающие из командного центра директивы. Среди таких команд: на скачивание, сохранение и запуск модуля Trojan.PWS.Dande, удаление этого модуля, запись данных в конфигурационный файл.
Троянец довольно умный, и если один из серверов окажется недоступным, он подключится к другому. Полезная нагрузка способна запускаться только на той машине, которая была инфицирована этим вредоносным ПО. Поскольку троянец заражает библиотеку advapi32.dll, которая загружается во все запущенные в системе процессы, код беспрепятственно встраивается в них.
Trojan.PWS.Dande был создан специально для того, чтобы воровать информацию из клиентских приложений, с помощью которых аптеки заказывают необходимые препараты у поставщиков. Потенциальными жертвами троянца являются: «Аналит: Фармация 7.7» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и другие приложенияю
Специалисты компании "Доктор Веб" предполагают, что злоумышленников в первую очередь интересует информация, связанная с данными ценах и объемах заказа медикаментов. Trojan.PWS.Dande - классический пример узкоспециализированной троянской программы.
Горячие темы