BackDoor.Bebloh.17 - новый банковский троян


BackDoor.Bebloh.17 - банковский троян, представляющий угрозу для пользователей систем дистанционного банковского обслуживания (ДБО), поскольку позволяет злоумышленникам красть конфиденциальную информацию путем перехвата заполняемых в браузере форм и встраивания в страницы сайтов некоторых банков.

Троян распространяется в виде вложения в сообщения массовых почтовых рассылок, отправляемых якобы от имени компании DHL. Запустившись в операционной системе, BackDoor.Bebloh.17 создает собственную копию в одной из системных папок, после чего удаляет исходный файл. При этом имя создаваемого экземпляра трояна содержит как минимум одно из следующих значений:

  • win;
  • video;
  • def;
  • mem;
  • dns;
  • setup;
  • user;
  • logon;
  • hlp;
  • mixer;
  • pack;
  • mon;
  • srv;
  • exec;
  • play,

иногда — сочетание нескольких из них с добавлением случайных символов, например:

  • monnw.exe;
  • deftwin.exe;
  • defpr.exe;
  • winlexec.exe;
  • monkpack.exe.


Затем троян вносит изменения в системный реестр, обеспечивая, таким образом автоматический запуск вредоносной программы при старте системы.

BackDoor.Bebloh

Инфицировав компьютер, BackDoor.Bebloh.17 встраивается в процессы

  • winlogon.exe;
  • svchost.exe;
  • explorer.exe,

а также, если таковые запущены, пытается встроиться в

  • Windows Messenger (msmsgs.exe);
  • популярные браузеры (iexplore.exe, firefox.exe, myie.exe, avant.exe, mozilla.exe, maxthon.exe, opera.exe, navigator.exe, safari.exe, chrome.exe);
  • почтовые клиенты (thebat.exe, outlook.exe, msimn.exe);
  • FTP-клиенты (ftpte.exe, coreftp.exe, filezilla.exe, TOTALCMD.EXE, cftp.exe, FTPVoyager.exe, SmartFTP.exe, WinSCP.exe).


Троян регулярно осуществляет проверку своего наличия в зараженной системе и восстанавливает модифицированные им ветви системного реестра в случае их правки или удаления.

Установив соединение с командным центром злоумышленников, BackDoor.Bebloh.17 передает им информацию об инфицированном компьютере:

  • версию ОС;
  • наличие установленных обновлений;
  • IP-адрес зараженного компьютера;
  • список всех запущенных процессов.


Троян также способен выполнять поступающие извне команды, в том числе задачу по обновлению вредоносной программы, а также получать параметры для выполнения веб-инжектов. BackDoor.Bebloh.17 представляет достаточно серьезную угрозу для пользователей, поскольку этот троян способен похищать данные, вводимые пользователем в веб-формы, подменять содержимое веб-страниц различных систем управления банковскими счетами, а также воровать пароли популярных FTP-клиентов и собирать адреса электронной почты, по всей видимости, для осуществления спам-рассылок.