BackDoor.Caphaw — банковский троян.
BackDoor.Caphaw – семейство троянов распространяемое через рассылку сообщений в Skype. Основное направление воздействия этих троянцев это хищение данных пользователя для системы дистанционного банковского обслуживания (ДБО) другой информации, которая может храниться на заражённом компьютере.
Распространение по сети этот троян начал в начале 2013 года. Ранее BackDoor.Caphaw попадал на компьютеры пользователей при помощи уязвимостей, а так же по средствам самокопирования на съёмные носители. Однако, в середине октября этого года троянец получил новые возможности для внедрения на компьютеры, а именно: спам рассылка через программу Skype.
Процесс рассылки проходил по тому же сценарию, как и в других вредоносных приложениях использующих спам как средство распространения. С уже инфицированных компьютеров рассылалось сообщение, содержащее в себе ссылку на загрузку архива invoice_ХХХХ.pdf.exe.zip (вместо символов XXXX использовался произвольный набор цифр) котрый содержит в себе исполняемый файл несущий в себе троян.
При запуске в операционной системе вредоносное приложение копирует себя в в одну из папок при этом приписывая произвольное имя, после чего прописывается в автозагрузку по средствам модификации реестра. Стоит отметить, что в троянец встроен механизм обнаружения попыток запуска вредоноса на виртуальной машине что, несомненно, осложняет его изучение.
После установки «вредитель» связывается с сервером, а затем анализирует процессы для поиска соединений с системами онлайн-банкинга. При нахождении таких процессов BackDoor.Caphaw внедряет в страницу банка свой код и перехватывает данные которые вводит пользователь.
Так же вирус может записывать потоковое видео с заражённой машины и передавать его на сервер киберпреступников в виде архива .rar.