Опасный Windows-бэкдор запускает собственные FTP- и прокси-серверы

Компания «Доктор Веб» предупреждает о распространении опасной вредоносной программы BackDoor.Yebot, нацеленной на персональные компьютеры под управлением операционных систем Windows.

Andrew Brookes/Corbis

Бэкдор проникает на ПК жертвы при помощи другого зловреда — трояна Siggen6.31836. Запустившись на атакуемом компьютере, эта программа встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe. После этого с удалённого сервера загружается и расшифровывается непосредственно бэкдор Yebot. Сам троян Siggen6.31836 примечателен тем, что часть используемых им функций зашифрована; кроме того, эта программа способна обходить систему контроля учетных записей пользователя (User Accounts Control, UAC).

Loop Images/Corbis

Проникнув на ПК жертвы, бэкдор Yebot может выполнять самые разнообразные действия. Среди основных функций зловреда можно выделить:

• запуск FTP-сервера;
• запуск Socks5 прокси-сервера;
• модификация протокола RDP для обеспечения удалённого доступа к инфицированной системе;
• перехват клавиатурного ввода;
• перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете;
• перехват токенов SCard;
• встраивание в просматриваемые пользователем веб-страницы постороннего содержимого;
• расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла;
• модификация кода запущенного процесса;
• взаимодействие с различными функциональными модулями (плагинами);
• создание снимков экрана;
• поиск в инфицированной системе приватных ключей.

Кроме того, как полагают эксперты, вредоносная программа может выполнять функции банковского трояна. Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол.