«Доктор Веб» попереджає про появу дуже небезпечного поліморфного файлового вірусу, здатного красти гроші з рахунків клієнтів російських банків, викрадати конфіденційну інформацію і різними способами шпигувати за своєю жертвою Шкідлива програма отримала назву Bolik, повідомляє «3Dnews».

Зловредів успадковує деякі технічні рішення широко відомих банківських троянів Zeus (Trojan. PWS. Panda) і Carberp, але на відміну від них вміє поширюватися без участі користувача і заражати виконувані файли. Функція самораспространения активується по команді зловмисників, після чого Bolik починає опитувати доступні для запису папки в мережевому оточенні Windows і на підключених USB-пристроях, шукає зберігаються там виконувані файли і заражає їх. При цьому вірус може інфікувати як 32-х, так і 64-розрядні додатки.

Якщо користувач запустить інфіковане додаток, вірус розшифрує банківського трояна і запустить його прямо в пам'яті атакується комп'ютера, без збереження на диск. При цьому зловредів має спеціальні механізми, що утрудняють роботу антивірусів: програма, зокрема, може «на льоту» змінювати код і структуру своєї частини, а в її архітектурі передбачені своєрідні «сповільнювачі», що складаються з безлічі циклів і повторюваних інструкцій.

Основне призначення Bolik - крадіжка різної цінної інформації у клієнтів російських банків. Для цього застосовуються різноманітні інструменти. Наприклад, вірус може контролювати дані, що передаються і відправляються браузерами Internet Explorer, Chrome, Opera і Firefox. Завдяки цьому троян здатний викрадати інформацію, яку користувач вводить в екранні форми.

У шпигунський арсенал Банкера входить модуль для створення знімків екрану (скріншотів) і фіксації натискань користувачем клавіш (кейлоггер).

Bolik вміє створювати на зараженій машині власний проксі-сервер і веб-сервер, що дозволяє обмінюватися файлами зі зловмисниками. Вірус здатний організовувати так звані «реверсні з'єднання»: з їх допомогою кіберзлочинці отримують можливість «спілкуватися» з зараженим комп'ютером, що знаходяться в захищеній брандмауером мережі або не мають зовнішнього IP-адреси, тобто працюють у мережі з використанням NAT (Network Address Translation). Вся інформація, якою Bolik обмінюється з керуючим сервером, шифрується за складним алгоритмом і стискається.