H1N1 - старый загрузчик с новым функционалом


CiscoИсследователи из компаний Cisco и Proofpoint исследовали новую модификацию загрузчика H1N1. Им удалось установить, что разработчики вредоноса начали расширять возможности своего детища. Так новые версии трояна были наделены рядом новых функций, среди которых способность собирать информацию на инфицированных системах и отправлять ее в зашифрованном виде на C&C-сервер злоумышленников.

Последняя версия H1N1 может похищать учетные данные, сохраненные в:

  • Mozilla Firefox;
  • Internet Explorer;
  • Microsoft Outlook.


Также вредонос способен:

  • удалять теневые копии;
  • отключать функцию восстановления системы;
  • обходить функцию Контроля учетных записей в Windows (UAC) при помощи техники, позволяющей подключить вредоносную DLL-библиотеку и запустить ее на системе с повышенными привилегиями.


Напомним, предыдущие версии вредоноса были замечены в кампаниях по распространению троянов Pony или Vawtrack. С недавних пор злоумышленниками стала использоваться только новая версия H1N1. Так экспертами из Cisco была зафиксирована спам-кампанию, в ходе которой преступники распространяют письма с прикрепленным вредоносным файлом DOC. Документ содержал VBA-скрипт, загружающий и устанавливающий на компьютер жертвы троян H1N1. Данная кампания была нацелена на предприятия следующих сфер деятельности:

  • финансовой;
  • энергетической;
  • коммуникационной,

а также правительственный и военный секторы.


Обновлено (20.09.2016 23:01)