Stegoloader - троянская программа, скрывающаяся в картинках PNG


Stegoloader (Win32/Gatak.DR или Tspy_Gatak.GTK) - троянская программа, предназначенная для хищения с инфицированного компьютера различной информации.

Распространяется вредонос посредством пиратских ресурсов в генераторах ключей к программному обеспечению (например, Avanquest_PowerDesk_9_0_1_10_keygen.exe). После попадания на компьютер жертвы, Stegoloader подгружает с безопасных источников PNG-изображения с модулями, спрятанными в них с помощью "стеганографии". При этом, различные модули трояна отвечают за его различную функциональность.

Все загружаемые трояном изображения формата PNG внешне выглядят вполне обычными, однако в их пикселях записан код модулей Stegoloader. Считывая этот код и подключая модули, троян, можно сказать, собирает себя по частям прямо в оперативной памяти персонального компьютера.

Ход подключения модулей отправляется на командно-контрольный сервер злоумышленников посредством HTTP-запросов. С этого же сервера зловред получает команды на выполнение.

После того как Stegoloader полностью себя "собрал", он начинает выискивать, похищать с компьютера, а затем передавать на удаленный сервер различную информацию, включая:

  • историю веб-серфинга;
  • пароли;
  • списки недавно открытых документов и т.д.


Кроме того, один из модулей этой троянской программы предназначен для поиска на компьютере данных об анализе угроз, которые специалисты по информационной безопасности проводят с помощью специального ПО.

Следующая интересная особенность Stegoloader в том, что он оснащен не одним, а несколькими механизмами защиты от обнаружения. Так, например, перед подключением вредоносных модулей загрузчик проверяет, не находится ли он в среде эмулятора антивирусной программы. Для этого он посылает множество запросов к функции определения позиции курсора мыши GetCursorPos, и если значение этой функции константа, загрузчик мгновенно прекращает свою работу. Таким образом, антивирус не видит никакой подозрительной активности.

Только за последние три месяца троян Stegoloader успел инфицировать довольно большое количество компьютеров различного рода предприятий. Так, наибольшее число заражений пришлось на компании в сфере:

  • здравоохранения - 42%;
  • финансовые институты - 13%;
  • производственные предприятия - 9%;
  • предприятия в нефтегазовой отрасли и ИТ-компании - по 3%.


При этом, больше всего заражений зафиксировано в:

  • США - 67%;
  • Чили - 9%;
  • Малайзии - 3%;
  • Норвегии и Франции - по 2%.