Czyta z klawiatury

Wirus jest rozpowszechniany za pomocą wiadomości mailowych z załącznikami ZIP. Nosi nazwę DarkWatchman, a zaobserwowano go na początku listopada. Złośliwy program potrafi odczytywać i przesyłać na zewnątrz znaki wpisywane na klawiaturze.

Specjaliści z zajmującej się cyberbezpieczeństwem firmy Prevailion uważają, że nowego wirusa typu RAT (remote access trojan) napisali rosyjscy przestępcy. Złośliwy kod powstał z myślą o atakowaniu głównie rosyjskich ofiar.

W załączniku ZIP, który ofiara odbierze w wiadomości e-mailowej i rozpakuje na komputerze, znajduje się plik wykonywalny udający zbiór tekstowy. W rzeczywistości jest to samorozpakowujące się archiwum WinRAR, które zawiera trojana RAT i keyloggera.

Załącznik z wirusem DarkWatchman zajmuje 32 kB miejsca na dysku, a program po kompilacji tylko 8,5 kB. Trojan wykorzystuje pakiet plików binarnych, skryptów i bibliotek oraz ukryte metody komunikacji między modułami.

Keylogger wchodzący w skład w DarkWatchmana nie jest zapisywany na dysku w postaci pliku, lecz przechowywany jako wpis w rejestrze Windowsa. Tworzone jest tam zadanie uruchamiania trojana za każdym razem, gdy użytkownik loguje się do systemu.

owsa. Tworzone jest tam zadanie uruchamiania trojana za każdym razem, gdy użytkownik loguje się do systemu.

fot. kalhh – Pixabay