Специалисты фирмы «Доктор Веб» изучали новенькую вредоносную программу, могущую скорпулезно исполнять поступающие от злоумышленников команды так как вручать на удаленный сервер изготовленные на инфицированном персональном персональном персональном персональном компьютере снимки экрана. Бэкдор владеет механизмами испытания наличия на атакуемом персональном персональном персональном персональном компьютере виртуальной окружающей окружающей среды так как антивирусных программ.
Троянец, получивший название , напечатан на языке Visual Basic так как распространяется в облике файла ярлыка с расширением .lnk, в содержимое коего записан запакованный VBS-сценарий. При открытии ярлыка VBS-скрипт извлекается так как сберегается в облике отдельного файла, далее чего происходит его запуск.
Троянец применяет вполне замечательный метод определения адреса управляющего сервера. В начале VBS-сценария предвидено трояк ссылки: две — на вебстраницы видеохостинга YouTube, а уж уж уж вновь одна — на вебстраницу пасмурного обслуживания Dropbox.
Троянец посылает на заданные ресурсы GET-запрос так как в поступившем ответе делает розыск с данным вирусописателями регулярным выражением: our (.*)th psy anniversary. приобретенное в итоге розыска смысл распределяется на 31 337 — результат этой математической операции воображает собой число, которое далее перевода в шестнадцатеричную форму соответствует значению айпишника управляющего сервера. Для испытания его работоспособности троянец посылает по указанному адресу особенный GET-запрос так как испытывает в ответе наличность строчки «ОКОКОК».
владеет особым механизмом испытания наличия на атакуемом персональном персональном персональном персональном компьютере виртуальной среды, а уж уж уж тоже работающих процессов всевозможных приложений для мониторинга операционной системы. тоже в самом бэкдоре реализовано выявление на инфицированном персональном персональном персональном персональном компьютере нескольких антивирусных программ (в случае обнаружения этаких троянец закончить делает один-одинехонек из своих сценариев).
В директории текущего юзера Windows образовывает вложенную папку, коию применяет в качестве рабочей. В целях маскировки троянец предохраняет в папке для размещения временных файлов документ vtoroy_doc.doc так как показывает его пользователю:
При конкретно в конкретно в этом можно предположить, как первоначально преступники планировали применять в качестве «приманки» презентацию PowerPoint, так как в коде троянца реализован метод окончания процесса предоставленного приложения (если установлен должный флаг), впрочем по каким-то факторам передумали.
Для создания снимков экрана бэкдор применяет личную библиотеку, при конкретно в конкретно в этом сами скриншоты сберегаются во временную папку в облике файлов с расширением .tmp. С поддержкой особого REG-файла троянец отключает расширения браузера Microsoft Internet Explorer, а уж уж уж коли вредная программа запущена в операционной системе Windows Vista, то с поддержкой иного REG-файла отключает в предоставленном браузере порядок protected. кроме этого, продает личный механический пуск способом размещения в папке автозагрузки надлежащего ярлыка:
Для получения команд от управляющего сервера троянец с перерывом в одну минутку обращает на него должный запрос. посреди особых команд возможно исполнить скачивание на инфицированный комп иного вредного приложения, либо с поддержкой запроса нагрузить снимки экрана на удаленный сервер. баста другие команды передает командному интерпретатору CMD либо PowerShell. тоже этот бэкдор в силах исполнить на зараженной машине Python-сценарий, итоги работы коего в зашифрованном облике передаются на принадлежащий злодеям сервер.
Сигнатура добавлена в вирусную основание Dr.Web, так как правнуки данная вредная программа закончить менее закончить воображает угрозе для юзеров антивирусных продуктов фирмы «Доктор Веб».
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web