Опасный Windows-бэкдор запускает собственные FTP- и прокси-серверы

Главная Новости (архив) Архив новостей Опасный Windows-бэкдор запускает собственные FTP- и прокси-серверы
1 ответ(ов) в теме
moto
не в сети 3 часа
На сайте с 12.03.2017
Администратор
Тем 3410
Сообщения 13603
0
22:33

Компания «Доктор Веб» предупреждает о распространении опасной вредоносной программы BackDoor.Yebot, нацеленной на персональные компьютеры под управлением операционных систем Windows.

Бэкдор проникает на ПК жертвы при помощи другого зловреда — трояна Siggen6.31836. Запустившись на атакуемом компьютере, эта программа встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe. После этого с удалённого сервера загружается и расшифровывается непосредственно бэкдор Yebot. Сам троян Siggen6.31836 примечателен тем, что часть используемых им функций зашифрована; кроме того, эта программа способна обходить систему контроля учетных записей пользователя (User Accounts Control, UAC).

Проникнув на ПК жертвы, бэкдор Yebot может выполнять самые разнообразные действия. Среди основных функций зловреда можно выделить:

запуск FTP-сервера;
запуск Socks5 прокси-сервера;
модификация протокола RDP для обеспечения удалённого доступа к инфицированной системе;
перехват клавиатурного ввода;
перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете;
перехват токенов SCard;
встраивание в просматриваемые пользователем веб-страницы постороннего содержимого;
расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла;
модификация кода запущенного процесса;
взаимодействие с различными функциональными модулями (плагинами);
создание снимков экрана;
поиск в инфицированной системе приватных ключей.

Кроме того, как полагают эксперты, вредоносная программа может выполнять функции банковского трояна. Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол.

источник

Редакции сообщения
0

Ваше имя *

Ваш E-mail *

не публикуется

Текст сообщения *