SHA1:
- 7a18337432a32fb717464f83a377a04f6ddd16a6
Троянец, предназначенный для хищения конфиденциальной информации на компьютерах под управлением Microsoft Windows. Самоназвание – Evrial stealer, автором троянца является вирусописатель, скрывающийся под псевдонимом TheBottle.
Вредоносная программа способна работать как в 32-разрядных, так и в 64-разрядных версиях Windows. Основным отличием этого троянца от других стилеров того же автора является реализация в Evrial stealer функции клипера, т. е. возможности подмены содержимого буфера обмена. Клипер способен отслеживать и подменять в буфере обмена номера кошельков следующих криптовалют и электронных платежных систем: BTC, LTC, MONERO, ETHEREUM, QIWI, WMR, WMZ, WME.
Троянец крадет сохраненные пароли из браузеров Chromium, Google Chrome, Opera, Kometa, Amigo, Torch, Orbitum, Comodo Dragon и Яндекс.Браузер, а также данные пользователей из приложений FileZilla и Pidgin. Вредоносная программа может передавать злоумышленникам хранящиеся на Рабочем столе Windows файлы с расширениями .doc, .docx, .txt и .log. Копирует на принадлежащий злоумышленникам сервер файл wallet.dat, используемый ПО для работы с криптовалютой Bitcoin (при наличии такого файла).
Троянец реализован в виде исполняемого EXE-файла, который при первом запуске регистрируется в автозагрузке. Модуль клипера отслеживает состояние буфера обмена инфицированного компьютера. Если ему удается определить, что в буфер обмена помещено значение имени электронного кошелька в поддерживаемом троянцем формате, он обращается к управляющему серверу, получает оттуда значения, на которые следует подменить содержимое буфера, и выполняет замену.