Специалисты из компании Symantec сообщили об обнаружении новой вредоносной программы, функционал которой запрограммирован на загрузку в компьютер жертвы три типа троянских программ. Троянец получил название Trojan.Badlib. Это эффективная вредоносная программа, которая по определению является сетью для распространения вредоносного ПО. После того, как Trojan.Badlib впервые устанавливается на компьютер пользователя и обнаруживает Интернет-соединение, он пытается подключиться к C&C серверу. Если подключение к этому серверу прошло удачно, троянская программа получает команды, содержащие несколько файлов и их цифровые сигнатуры для скачивания. Согласно данным исследователей компании Symantec, Badlib загружает три различных типа троянов: Trojan.Badfaker, Trojan.Badminer и Infostealer.Badface.

Trojan.Badfaker старается отключить антивирусную защиту на зараженном компьютере, и скрыть данный факт от пользователя. После обнаружения и распознания работы антивируса, троян модифицирует ОС Windows так, чтобы при следующем включении компьютера ОС загрузилась в безопасном режиме. Затем он отключает службу Windows Firewall и блокирует предупреждения от Microsoft Security Center, и начинает показывать поддельные уведомления (на английском и на русском языках) об инфекциях имитируя (уже отключенный) антивирус.

Trojan.Badminer использует GPU на зараженном компьютере для кражи электронной пиринговой криптовалюты Bitcoin.
Infostealer.Badface похищает данные учетных записей пользователей в социальных сетях. С его помощью трафик, предназначенный для сайтов социальных сетей, перенаправляется на удаленный сервер.

Учитывая доменные имена, двуязычный характер трояна, его деятельность, которая связанна с хищением личных данных, а также командный трафик, специалисты компании Symantec предполагают, что вредоносная программа была создана в России или Восточной Европе. Symantec также сообщает, что вредоносные программы, которые устанавливает Trojan.Badlib могут со временем измениться.