Новости Software

Опасный Windows-бэкдор запускает собственные FTP- и прокси-серверы

Компания «Доктор Веб» предупреждает о распространении опасной вредоносной программы BackDoor.Yebot, нацеленной на персональные компьютеры под управлением операционных систем Windows.

Andrew Brookes/Corbis

Andrew Brookes/Corbis

Бэкдор проникает на ПК жертвы при помощи другого зловреда —  трояна Siggen6.31836. Запустившись на атакуемом компьютере, эта программа встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe. После этого с удалённого сервера загружается и расшифровывается непосредственно бэкдор Yebot. Сам троян Siggen6.31836 примечателен тем, что часть используемых им функций зашифрована; кроме того, эта программа способна обходить систему контроля учетных записей пользователя (User Accounts Control, UAC).

Loop Images/Corbis

Loop Images/Corbis

Проникнув на ПК жертвы, бэкдор Yebot может выполнять самые разнообразные действия. Среди основных функций зловреда можно выделить:

  • запуск FTP-сервера;
  • запуск Socks5 прокси-сервера;
  • модификация протокола RDP для обеспечения удалённого доступа к инфицированной системе;
  • перехват клавиатурного ввода;
  • перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете;
  • перехват токенов SCard;
  • встраивание в просматриваемые пользователем веб-страницы постороннего содержимого;
  • расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла;
  • модификация кода запущенного процесса;
  • взаимодействие с различными функциональными модулями (плагинами);
  • создание снимков экрана;
  • поиск в инфицированной системе приватных ключей.

Кроме того, как полагают эксперты, вредоносная программа может выполнять функции банковского трояна. Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол. 

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥