Новая модификация банковской троянской программы для Windows Gozi, разработанная на базе исходных кодов, опубликованных относительно недавно в свободном доступе, была обнаружена исследователями из «Доктор Веб».
Эксперты выделяют в качестве ключевой особенности вредоносной программы возможность создания P2P-сети для обмена информацией с другими зараженными компьютерами.
Новая разновидность Gozi обладает широким функционалом. Используя троянскую программу, хакеры могут похитить учетную информацию, записать нажатия клавиш, добавить посторонний контент в веб-страницы, которые просматриваются на зараженном устройстве, а также дистанционно заполучить доступ к компьютеру с помощью VNC. Злоумышленники могут дать Gozi команду на запуск прокси-сервера SOCKS на инфицированном компьютере, загрузку и установку различных плагинов. Программа имеет широкий набор шпионских функций, которые дают возможность получить доступ к различным конфиденциальным данным пользователей, включая те, что применяются для работы с системами интернет-банкинга.
Как и другие вредоносные программы, Gozi пользуется специальным алгоритмом создания доменов, чтобы определять адреса своих C&C-серверов. Программа осуществляет загрузку с сервера NASA текстового файла, служащего в качестве словаря, затем вносит в него изменения, учитывая текущую дату, и формирует доменные имена на основе полученных значений. В дальнейшем эти имена используются как адреса C&C-серверов. Троянская программа каждые 15 дней осуществляет автоматическую смену сервера. Передача трафика между вредоносной программой и C&C-сервером осуществляется в зашифрованном виде.