Загрузчик H1N1 обзавелся новым функционалом

Разработчики загрузчика H1N1 начали расширять возможности вредоноса. По данным исследователей из компаний Cisco и Proofpoint, новые версии трояна получили ряд новых функций, в том числе способность собирать информацию на инфицированных системах и отправлять ее в зашифрованном виде на C&C-сервер злоумышленников.

H1N1 может похищать учетные данные, сохраненные в браузерах Mozilla Firefox и Internet Explorer, а также в Microsoft Outlook. В настоящее время возможности вредоноса не столь широки по сравнению с другим вредоносным ПО подобного рода, однако в будущем функционал может стать более сложным, считают эксперты. Помимо прочего, вредонос может удалять теневые копии, отключать функцию восстановления системы, а также обходить функцию Контроля учетных записей в Windows (UAC) при помощи техники, позволяющей подключить вредоносную DLL-библиотеку и запустить ее на системе с повышенными привилегиями.

Предыдущие версии вредоноса были неоднократно замечены в кампаниях по распространению троянов Pony или Vawtrack. Однако с недавних пор злоумышленники начали использовать только новую версию H1N1. Эксперты Cisco зафиксировали спам-кампанию, в ходе которой преступники распространяют письма с прикрепленным вредоносным файлом DOC. В документе содержится VBA-скрипт, загружающий и устанавливающий на компьютер жертвы троян H1N1. По данным исследователей, кампания нацелена на предприятия финансовой, энергетической и коммуникационной сферы, а также на правительственный и военный секторы.