«Врач Интернет» предостерегает о распространении вредной платформы Trojan.MulDrop6.44482, созданной для внедрения на персональный компьютер жертвы прочих зловредов, и в том числе небезопасного разведчика, грозящего бухгалтериям российских организаций.

Вирус разносится в качестве приложения-установщика, которое при запуске рассматривает содержание на инфицируемом ПК антивирусных программ Dr.Web, Avast, ESET либо Kaspersky: если такие замечаются, платформа заканчивает собственную работу. Вирус также заканчивает работу, если локальность Виндоус различается от российской.

С помощью Trojan.MulDrop6.44482 мошенники раздают вредные платформы Trojan.Inject2.24412 и Trojan.PWS.Spy.19338. Первая создана для встраивания в запускаемые на инфицированном ПК процессы вредных библиотек.

Зловред Trojan.PWS.Spy.19338, к тому же, способен транслировать киберпреступникам набираемый клиентом документ в окнах разных дополнений, и в том числе бухгалтерских. Вирус, например, выслеживает энергичность клиента в подобных дополнениях, как 1С версии 8, 1С версии 7 и 7.7, СБиС++, Skype, и редакторах Майкрософт Офис.

Шпион пускается прямо в памяти атакуемого ПК без хранения на диск в дешифрированном виде, при этом на диске находится его закодированная копия. Определяющий нажатия кнопок модуль-кейлоггер может транслировать мошенникам данные из буфера размена зараженного ПК. Вирус также может запускать на заражённом ПК принимаемые с правящего компьютера платформы как с промежуточным сбережением их на диск, так и в его отсутствие. Зловред состоит из нескольких модулей, любой из которых осуществляет свой комплект функций.

Вся информация, которой вирус меняется с правящим компьютером, шифруется в 2 раунда — предварительно с применением способа RC4, потом — XOR. Записи о нажатиях кнопок зловред сохраняет на диске в особом документе и с промежутком за минуту передаёт его содержание на правящий компьютер.