IT-Center - Интернет магазин


https://shop.it-center.kz/news/1/20/opasnyi-bekdor-ugrozhaet-polzovatelyam-windows/

Версия для печати / Оригинальная версия





Опасный бэкдор угрожает пользователям Windows


Специалисты компании «Доктор Веб» провели исследование опасного троянца-бэкдора, способного заражать компьютеры под управлением Microsoft Windows. Вредоносная программа, получившая наименование BackDoor.Yebot, может выполнять на инфицированной машине широчайший диапазон деструктивных действий, в частности, запускать собственный FTP и прокси-сервер, искать различную информацию по команде злоумышленников, фиксировать нажатие пользователем клавиш, передавать на удаленный сервер снимки экрана и многое другое.


Троянец BackDoor.Yebot распространяется с использованием другой вредоносной программы, добавленной в вирусные базы Dr.Web под именем Trojan.Siggen6.31836. Запустившись на атакуемом компьютере, это опасное приложение встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe, после чего, отправив на удаленный сервер соответствующий запрос, загружает и расшифровывает троянца BackDoor.Yebot, настраивает его в памяти компьютера и передает ему управление. Сам Trojan.Siggen6.31836 примечателен тем, что часть используемых им функций зашифрована (причем расшифровываются они только в момент выполнения, для чего троянец резервирует память, которая автоматически освобождается после исполнения кода функции). Также эта вредоносная программа обладает механизмами проверки наличия в атакуемой системе виртуальной машины и обхода системы контроля учетных записей пользователя (User Accounts Control, UAC).
Бэкдор BackDoor.Yebot обладает следующими функциональными возможностями:
Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол. При этом управляющий сервер троянца обладает параноидальными настройками: например, он может занести IP-адрес в черный список при поступлении с него некорректного запроса или при поступлении слишком большого количества запросов с одного IP-адреса.
Специалисты компании «Доктор Веб» предполагают, что BackDoor.Yebot может использоваться злоумышленниками в том числе в качестве банковского троянца: фактически он универсален в силу достаточно развитого ассортимента функциональных возможностей и способности взаимодействовать с различными дополнительными модулями. Сигнатуры BackDoor.Yebot и Trojan.Siggen6.31836 добавлены в вирусные базы, потому эти вредоносные программы не представляют опасности для пользователей антивирусных продуктов Dr.Web.

Подробности о троянце



"Copyright © 2003-2017 Группа компаний "IT-Center"" |