«Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля», - говорится в уведомлении «Доктор Веб».
Ввиду того, что системы ДБО в основном используют зашифрованный протокол передачи данных HTTPS, для маскировки троян устанавливает на систему самоподписный цифровой сертификат. Благодаря этому отображаемая в браузере жертвы страница системы «Банк-Клиент» имеет не только схожий с настоящим URL, но и само соединение осуществляется по протоколу HTTPS.
Эксперты отмечают, что даже после полного удаления с системы Trojan.Proxy.23968 в настройках браузера остаются внесенные вредоносной программой изменения. Таким образом, пользователь может стать жертвой банковских мошенников даже в том случае, если система была полностью очищена от вирусов.
.png)