Архив
Январь Февраль Март
Апрель Май Июнь
Июль Август Сентябрь
Октябрь Ноябрь Декабрь
Тел./факс: +38 (044) 593-37-13
Моб. Тел : +38 067 231 70 37
E-mail: office@infobezpeka.com
НачалоО компанииНовости

Новости

11 сентября 2013

Новый бэкдор способен перехватывать вводимые с клавиатуры данные

Компания «Доктор Веб» сообщает о распространении новой вредоносной программы BackDoor.Saker.1, которая способна обходить механизм контроля учетных записей пользователей. Основная задача BackDoor.Saker.1 — перехват нажимаемых пользователем клавиш (кейлоггинг), кроме того, она способна выполнять поступающие от злоумышленников команды.

Алгоритм работы BackDoor.Saker.1 достаточно сложен и состоит из нескольких этапов. После проникновения на компьютер, вредонос запускает файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает зловредное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.

 

После успешного инфицирования компьютера BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения о системе, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Кроме того, троянец создает в одной из системных папок файл, в который записывает нажатия пользователем клавиш на клавиатуре компьютера. Параллельно бэкдор ожидает ответ от удаленного сервера на выполлнение следующих команд: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор или для запуска собственного файлового менеджера. В свою очередь последний имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.

Новости по теме

31 мая Mirobase 8 рекомендован для предприятий всех форм собственности, включая государственную.
11 сентября 2015 | ESET Специальное предложение на продукты ESET и Mirobase
22 декабря 2014 Компания Kaspersky Lab обнаружила новую опасную угрозу для пользователей систем онлайн-банкинга. Вредонос Chthonic, являющийся модификацией печально известного банковского троянца ZeuS, может атаковать клиентов более 150 банков и 20 платежных систем в 15 странах мира. Наибольший удар пришелся на РФ, Великобританию, Испанию, США, Италию и Японию.
Blue Coat  | SnapGear  | Sidewinder G2  | GFI languard, webmonitor  | Фильтрация Web трафика  | Zdisk  | StrongDisk  | DriveCrypt  | защита файлов PGP  | Защита папок Zserver  | Zbackup  | Zlock  | LanAgent  | PGP Desktop Email  | электронный ключ iKey (электронные ключи)  | Шифрование жесткого диска  | Смарт-карт считыватели (ридеры)  | WatchGuard Firebox firewall  | смарт-карты  | McAfee  | Защита информации (информационная безопасность)  | Цена(купить)  | Захист інформації  | SIEM