В России появился новый вирус, который крадет деньги через программу "1С"
Эксперты по кибербезопасности обнаружили новый вирус, который способен похищать деньги через программное обеспечение "1С". Об этом аналитики "Лаборатории Касперского" рассказали в своем блоге. Речь идет о двух модификациях троянца Mezzo. Один из них предназначен для сбора информации об имеющихся файлах бухгалтерии. Второй способен их подменять.
Характерная черта обеих — создание на старте легко узнаваемого мьютекса:
После начала работы Mezzo создает уникальный идентификатор для зараженного компьютера. Он используется в качестве имени папки, где будет храниться информация о найденных файлах.
Сам архив защищен паролем (в этом качестве используется созданный ранее идентификатор, который также является именем архива). В отличии от TwoBee, Mezzo использует более простой алгоритм для поиска и проверки файлов. Mezzo же просто удостоверяется в «возрасте» файла (не должен быть старше недели) и наличии строчки 1CClientBankExchange в его начале.
По завершении поиска данные упаковываются в архив с паролем и отправляются на сервер.
Распространяется вирус с помощью программы загручзчиков. Потом он передает инфомрацию на компьютер хакеров, создает там папку этого устройства и сохраняет туда всю информацию. возможно, он связан с троянцем CryptoShuffler.
Антивирусный эксперт «Лаборатории Касперского» Сергей Юнаковский допускает, что одними бухгалтерскими программами этот вирус не ограничивается, и может иметь множество разных функций. Стало известно, что большинство случаев заражения Mezzo произошло в России.
