11 сентября 2013
Новый бэкдор способен перехватывать вводимые с клавиатуры данные
Компания «Доктор Веб» сообщает о распространении новой вредоносной программы BackDoor.Saker.1, которая способна обходить механизм контроля учетных записей пользователей. Основная задача BackDoor.Saker.1 — перехват нажимаемых пользователем клавиш (кейлоггинг), кроме того, она способна выполнять поступающие от злоумышленников команды.
Алгоритм работы BackDoor.Saker.1 достаточно сложен и состоит из нескольких этапов. После проникновения на компьютер, вредонос запускает файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает зловредное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.
После успешного инфицирования компьютера BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения о системе, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Кроме того, троянец создает в одной из системных папок файл, в который записывает нажатия пользователем клавиш на клавиатуре компьютера. Параллельно бэкдор ожидает ответ от удаленного сервера на выполлнение следующих команд: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор или для запуска собственного файлового менеджера. В свою очередь последний имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.
Новости по теме
|
|
|
|
31 мая 2017
Mirobase 8 рекомендован для предприятий всех форм собственности, включая государственную.
|
|
|
|
|
|