Специалисты корпорации «Доктор Веб» провели изучение небезопасного троянца-бэкдора, могущего заражать компы под управлением Microsoft Windows. вредная программа, получившая прозвание , множить исполнять на инфицированной машине широчайший спектр деструктивных действий, в частности, пускать личный FTP этак словно прокси-сервер, шарить разную информацию по команде злоумышленников, закреплять нажатие юзером клавиш, подавать на удаленный сервер снимки экрана этак словно почти баста другое.
Троянец распространяется с применением второй вредной программы, добавленной в вирусные основы Dr.Web под именованием . Запустившись на атакуемом компьютере, это опасное приложение встраивает личный код в процессы svchost.exe, csrss.exe, lsass.exe этак словно explorer.exe, опосля чего, послав на удаленный сервер надлежащий запрос, загружает этак словно расшифровывает троянца , настраивает его в памяти персонального компьютера этак словно передает ему же управление. Сам примечателен тем, словно фрагмент применяемых им же функций зашифрована (причем расшифровываются они только лишь в час выполнения, для чего троянец резервирует память, которая автоматично высвобождается опосля выполнения кода функции). тоже данная вредная программа владеет механизмами испытания наличия в атакуемой системе виртуальной автомобиля этак словно обхода системы контроля учетных записей юзера (User Accounts Control, UAC).
запуск на инфицированном персональном персональном персональном компьютере FTP-сервера;
запуск на инфицированном персональном персональном персональном компьютере Socks5 прокси-сервера;
модификация протокола RDP для снабжения удаленного доступа к инфицированному компьютеру;
фиксация нажатий юзером кнопок (кейлоггинг);
возможность инсталляции оборотной взаимоотношения с инфицированным ПК для FTP, RDP этак словно Socks5, коли в паутины употребляется NAT (бэкконнект);
перехват заданных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу систематических высказываний в среде Perl, для чего троянец перехватывает баста вероятные функции, связанные с работой в Интернете;
перехват токенов SCard;
встраивание в просматриваемые юзером интернет-страницы чужого содержимого (веб-инжекты);
расстановка перехватов разных системных функций в зависимости от общепринятого конфигурационного файла;
модификация кода запущенного процесса в зависимости от общепринятого конфигурационного файла;
взаимодействие с разными многофункциональными модулями (плагинами);
создание снимков экрана;
поиск в инфицированной системе частных ключей.
Для обмена заданными с управляющим сервером применяет как-нибудь шаблонный протокол HTTP, этак так словно личный бинарный протокол. При конкретно в этом управляющий сервер троянца владеет параноидальными настройками: например, он множить замести айпишник в вороной перечень при поступлении с него неправильного запроса либо при поступлении чрезмерно огромного численности запросов с единого IP-адреса.
Специалисты корпорации «Доктор Веб» предполагают, словно множить быть использован злодеями в книжка числе в качестве банковского троянца: практически он всепригоден в силу довольно развитого ассортимента активных способностей этак словно возможности вести взаимодействие с разными доборными модулями. Сигнатуры этак словно добавлены в вирусные базы, поэтому эти вредные программы не делать воображают угрозе для юзеров антивирусных продуктов Dr.Web.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости