Специалисты фирмы «Доктор Веб» провели изучение небезопасного троянца-бэкдора, могущего заражать компы под управлением Microsoft Windows. вредная программа, получившая название , помножать исполнять на инфицированной машине широчайший спектр деструктивных действий, в частности, пускать личный FTP эдак словно прокси-сервер, шарить разную информацию по команде злоумышленников, концентрировать нажатие юзером клавиш, вручать на удаленный сервер снимки экрана эдак словно почти баста другое.
Троянец распространяется с внедрением альтернативный вредной программы, добавленной в вирусные основы Dr.Web под именованием . Запустившись на атакуемом компьютере, это опасное приложение встраивает личный код в процессы svchost.exe, csrss.exe, lsass.exe эдак словно explorer.exe, потом чего, послав на удаленный сервер соответственный запрос, загружает эдак словно расшифровывает троянца , настраивает его в памяти персонального компьютера эдак словно передает ему же управление. Сам примечателен тем, словно доля применяемых им же функций зашифрована (причем расшифровываются они лишь в мгновение выполнения, для чего троянец резервирует память, которая механически высвобождается потом выполнения кода функции). а также данная вредная программа владеет механизмами испытания наличия в атакуемой системе виртуальной автомобиля эдак словно обхода системы контроля учетных записей юзера (User Accounts Control, UAC).
запуск на инфицированном персональном персональном персональном компьютере FTP-сервера;
запуск на инфицированном персональном персональном персональном компьютере Socks5 прокси-сервера;
модификация протокола RDP для снабжения удаленного доступа к инфицированному компьютеру;
фиксация нажатий юзером кнопок (кейлоггинг);
возможность инсталляции оборотной отношения с инфицированным ПК для FTP, RDP эдак словно Socks5, в случае если в паутины в ход идет NAT (бэкконнект);
перехват заданных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу систематических высказываний в среде Perl, для чего троянец перехватывает баста вероятные функции, связанные с работой в Интернете;
перехват токенов SCard;
встраивание в просматриваемые юзером интернет-страницы инородного содержимого (веб-инжекты);
расстановка перехватов разных системных функций в зависимости от общеустановленного конфигурационного файла;
модификация кода запущенного процесса в зависимости от общеустановленного конфигурационного файла;
взаимодействие с всевозможными многофункциональными модулями (плагинами);
создание снимков экрана;
поиск в инфицированной системе частных ключей.
Для обмена заданными с управляющим сервером применяет сколько штампованный протокол HTTP, эдак так словно личный бинарный протокол. При данном управляющий сервер троянца владеет параноидальными настройками: например, он помножать замести айпишник в черноголовый перечень при поступлении с него неправильного запроса либо при поступлении чересчур крупного численности запросов с единого IP-адреса.
Специалисты фирмы «Доктор Веб» предполагают, словно помножать применяться злодеями в книжка числе в качестве банковского троянца: практически он всепригоден в силу довольно развитого ассортимента многофункциональных способностей эдак словно возможности вести взаимодействие с всевозможными доборными модулями. Сигнатуры эдак словно добавлены в вирусные базы, поэтому эти вредные программы не делать воображают угрозы для юзеров антивирусных продуктов Dr.Web.
НОВОЕ НА САЙТЕ
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости