Компания «Доктор Веб» сообщила о распространении вредоносной программы, угрожающей пользователям комплекса программных решений для бизнеса SAP.
По сравнению с другими вредоносными программами семейства, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия, упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников. Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца, способен выполнять две новые команды — одна из них активирует или дезактивирует блокировку банковских клиентов, другая позволяет получить от управляющего сервера конфигурационный файл. Еще одной важной отличительной особенностью Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP.