Файлы с расширением .CPL и .ChePro - угроза для компьютерных систем


KasperskyLabsЭксперты Лаборатории Касперского, проведя анализ пришли к выводу, что практически все банковские троянские программы Бразилии имеют расширение .CPL и содержат в себе апплеты панели управления Windows. Программа rundll32.exe, находясь в запуске, имеет разные функции, которые определяются в DLL-библиотеках. Среди таких функций есть функция выполнения апплетов Панели управления, использующая считанный адрес CPlApplet() для вызова функции и передачи ей разнообразных сообщений.

Понятно, что каждый киберпреступник по-своему распространяет вредоносные программы. Так некоторые из них могут упаковывать CPL-файлы в ZIP-архивы, а некоторые внедряют вредоносный код в RTF файлы.

Среди стран с повышенной частотой заражений, лидирующие места занимают:

  • Бразилия;
  • Португалия;
  • Россия.


Подобная статистика может свидетельствовать лишь о взаимодействии бразильских и российских мошенников, а также об использовании ими адаптированных под банковские системы приемы российского преступного общества.

Зараженные файлы имеют много общего, например:

  • расширение файлов .CPL;
  • похожие параметры;
  • по 2 страницы;
  • представляют собой DLL-библиотеки и т.д.


Использование данной программы киберпреступниками происходит по нескольким причинам:

  • Обычно, жертвы не подозревают о возможной опасности заражения.
  • Не все почтовые системы оснащены фильтрами, блокирующими файлы с расширением данного формата.
  • Форматы ZIP и RTF не поддаются проверке антивирусами.


Это основные факторы из-за чего обнаружить вирусную программу в таком файле практически невозможно.

А, например, файлы формата ChePro - способны заражать систему с помощью других файлов. Зачастую, такими являются банковские вредоносные программы, позволяющие делать снимки экрана, регистрировать нажатия клавиатуры и читать содержимое буфера копирования. Такие действия позволяют злоумышленникам совершать кабератаки на любые системы онлайн-банкинга.


Обновлено (11.01.2014 00:10)