Сотрудниками лаборатории «Доктор Веб» была обнаружена вредоносная копия сайта Федеральной службы судебных приставов (ФССП) России. Сайт используется для заражения троянцем Trojan.DownLoader28.58809.
"Внешне подделка почти не отличается от оригинала, за исключением некоторых элементов. При попытке перехода по некоторым ссылкам на сайте, пользователь перенаправляется на страницу с предупреждением о необходимости обновить Adobe Flash Player. В тоже время на устройство загрузится .exe файл, при запуске которого будет установлен Trojan.DownLoader28.58809.
Троянец устанавливается в автозагрузку в системе пользователя, соединяется с управляющим сервером и скачивает другой вредоносный модуль – Trojan.Siggen8.50183. Кроме этого, на устройство пользователя скачивается файл, имеющий действительную цифровую подпись Microsoft и предназначенный для запуска основной вредоносной библиотеки. После чего Trojan.Siggen8.50183 собирает информацию о системе пользователя и отправляет ее на управляющий сервер.
После установки троян будет всегда запущен на устройстве и сможет выполнять различные действия по команде от управляющего сервера.
На что способен этот вирус:
1-получить информацию о дисках;
2-получить информацию о файле;
3-получить информацию о папке;
4-получить список файлов в папке;
5-удалить файлы;
6-создать папку;
7-переместить файл;
8-запустить процесс;
9-остановить процесс;
10-получить список процессов.
Источники информируют о том, хакеры еще не запускали масштабные вирусные кампании с использованием сайта-подделки, но он мог использоваться в атаках на отдельных пользователей или организации.