В блоге RSA FraudAction Research Lab опубликованы результаты наблюдений за деятельностью троянца Sinowal (другие названия – Torpig и Mebroot). Сообщается, что с февраля 2006 года по настоящий момент троянец похитил авторизационные данные около трехсот тысяч онлайновых банковских эккаунтов, данные о примерно таком же количестве кредитных карт и другую конфиденциальную информацию.

Sinowal заражает компьютер незаметно для пользователя. Специалисты RSA обнаружили 2700 веб-страниц, активирующих различные функции троянца при их посещении пользователями. Эти функции включают добавление в браузере новых полей для ввода персональной информации или новых веб-страниц, которые пользователь не может отличить от подлинных страниц посещаемого сайта.

Помимо разработки собственно троянца, его авторы создали хорошо организованную и скрытую инфраструктуру передачи и накопления данных от пораженных клиентов. По словам RSA, почти три года – это чрезвычайно большой срок для одной онлайновой аферы, использующей всего лишь одного трояна. Удивительно, что все это время троян мог беспрепятственно осуществлять сбор и передачу информации злоумышленникам. Пик его активности пришелся на период с марта по сентябрь этого года.

Более подробная информация: http://www.rsa.com/blog/blog_entry.aspx?id=1378.

От себя добавлю, что первые сообщения о Sinowal в 2006-м году характеризовали его как обычный кейлоггер. Соответственно, защититься было достаточно легко, используя эффективные антикейлоггеры. Далее, я встречал упоминания, что Sinowal шифрует файлы и требует “выкуп” за расшифровку. Теперь же, судя по сообщению RSA, этот троянец уже научился инфицировать сайты банков и финансовых организаций и выполнять HTML injection в браузеры пользователей. Ждем комментарии от антивирусных компаний.

Tags: вирус, кейлоггер, троян