BackDoor.Caphaw - банковский троян, распространяющийся через Skype


BackDoor.Caphaw - семейство банковских троянов, предназначенных для хищения учетных данных от систем дистанционного банковского обслуживания и другой конфиденциальной информации, хранимой на инфицированной машине. Распространяется данное вредоносное ПО посредством рассылаемых сообщений в Skype.

Заражения компьютеров трояном BackDoor.Caphaw фиксируются с начала 2013 года. Изначально вредонос распространялся, используя уязвимости (в частности, пакета эксплоитов BlackHole), а также копируясь на съемные и сетевые диски. А с середины октября 2013 года BackDoor.Caphaw начал распространяться через массовую рассылку сообщений программы Skype. Пик распространения вредоносов пришелся на период с 5 по 14 ноября. Происходит это следующим образом. Злоумышленники рассылают Skype-сообщения, используя аккаунты уже инфицированных пользователей. Сообщения содержат в себе ссылку на архив с именем

  • invoice_ХХХХХ.pdf.exe.zip

где ХХХХХ — произвольный набор цифр.

В свою очередь, архив содержит исполняемый файл, представляющий собой троянскую программу BackDoor.Caphaw.

Запустившись в операционной системе, вредонос сохраняет свою копию в виде файла с произвольным именем в одной из папок приложений. Затем модифицирует ключ системного реестра, отвечающий за автоматический запуск программ. А в целях противодействия попыткам исследования вредоносного приложения, в его функционале встроен механизм выявления своего запуска на виртуальных машинах.

При успешной установке BackDoor.Caphaw пытается встроиться в запущенные процессы и устанавливает соединение с сервером злоумышленников. Троян отслеживает активность пользователя и определяет попытки соединения с различными системами онлайн—банкинга. В случае установки такого соединения BackDoor.Caphaw внедряет в просматриваемые пользователем веб-страницы стороннее содержимое и перехватывает данные, вводимые им в различные формы.

Другая интересная функция бэкдора — запись потокового видео на инфицированном компьютере и передача его на сервер злоумышленников в виде RAR-архива. Помимо прочего BackDoor.Caphaw:

  • обладает возможностью загрузки с удаленного сервера и запуска дополнительных модулей;
  • осуществляет поиск и передачу злоумышленникам паролей от FTP-клиентов;
  • реализует VNC-сервера;
  • имеет модуль MBR-буткита;
  • способен инфицировать загрузочную запись и т.д.


Благодаря отдельному модулю бэкдор может рассылать вредоносные ссылки, используя Skype.

От данной угрозы можно избавиться, используя бесплатную лечащую утилиту Dr.Web CureIt!, либо воспользоваться загрузочным диском Dr.Web LiveCD.