29 июня  мы сообщали о появлении  троянской программы Trojan.VkBase.47, загружающей на зараженный компьютер различное  вредоносное ПО. И вот в сети интернет снова зафиксировано распространение, но уже  новой модификации программы Trojan.VkBase.48, предназначенной всё также, для скрытой загрузки и установки различного вредоносного ПО на компьютер жертвы. Основное отличие новой версии Trojan.VkBase заключается в том, что, помимо своей основной функциональной нагрузки, а именно скачивания и установки вредоносного ПО, Trojan.VkBase.48 запускает на инфицированном компьютере программу-«майнер» для платежной системы Bitcoin. Благодаря этому злоумышленники могут использовать вычислительные ресурсы зараженного компьютера с целью личного обогащения. Подробнее о платежной системе и криптовалюте Bitcoin можно прочитать в нашей статье, посвященной вредоносной программе Trojan.BtcMine.1.

Оказавшись на зараженном компьютере, Trojan.VkBase.48 создает в директории установки Windows папку update.4.1, сохраняется в нее под именем svchost.exe и запускается как фоновый сервис. Затем троянец проверяет наличие соединения с Интернетом, отправляя запросы по протоколу HTTP узлам Google.com, Microsoft.com и Yandex.ru, ожидая получить в ответ главную страницу этих сайтов. Если отклик получен, Trojan.VkBase.48 случайным образом генерирует логин и пароль для платежной системы Bitcoin и сохраняет их в файл %AppData%\Bitcoin\bitcoin.conf. Вслед за этим троянец проверяет собственную версию (в нем присутствует функция обновления), собирает сведения о зараженной машине (включая имя компьютера, серийный номер диска, типы используемых накопителей) и отправляет информацию на сервер злоумышленников. Затем вредоносная программа подключается к своим командным центрам и обменивается с ними данными. По команде Trojan.VkBase.48 может загрузить из Интернета сервер Bitcoin и запустить его в качестве сервиса. Судя по имеющейся в ресурсах вредоносной программы дате, по которой Trojan.VkBase.48 определяет собственную актуальность, данная модификация троянца уже устарела и существует более новая — Trojan.VkBase за номером 49. (эта модификация также внесена в вирусные базы Dr.Web). Специалисты компании «Доктор Веб» продолжают следить за развитием событий.