Новости Software

Опасный Windows-бэкдор запускает собственные FTP- и прокси-серверы

Компания «Доктор Веб» предупреждает о распространении опасной вредоносной программы BackDoor.Yebot, нацеленной на персональные компьютеры под управлением операционных систем Windows.

Andrew Brookes/Corbis

Andrew Brookes/Corbis

Бэкдор проникает на ПК жертвы при помощи другого зловреда —  трояна Siggen6.31836. Запустившись на атакуемом компьютере, эта программа встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe. После этого с удалённого сервера загружается и расшифровывается непосредственно бэкдор Yebot. Сам троян Siggen6.31836 примечателен тем, что часть используемых им функций зашифрована; кроме того, эта программа способна обходить систему контроля учетных записей пользователя (User Accounts Control, UAC).

Loop Images/Corbis

Loop Images/Corbis

Проникнув на ПК жертвы, бэкдор Yebot может выполнять самые разнообразные действия. Среди основных функций зловреда можно выделить:

  • запуск FTP-сервера;
  • запуск Socks5 прокси-сервера;
  • модификация протокола RDP для обеспечения удалённого доступа к инфицированной системе;
  • перехват клавиатурного ввода;
  • перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете;
  • перехват токенов SCard;
  • встраивание в просматриваемые пользователем веб-страницы постороннего содержимого;
  • расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла;
  • модификация кода запущенного процесса;
  • взаимодействие с различными функциональными модулями (плагинами);
  • создание снимков экрана;
  • поиск в инфицированной системе приватных ключей.

Кроме того, как полагают эксперты, вредоносная программа может выполнять функции банковского трояна. Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол. 

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Google рассказала об атаках «русскоговорящих хакеров» на блогеров YouTube 7 ч.
Скупщик эксплойтов Zerodium заинтересовался уязвимостями в VPN-приложениях ExpressVPN, NordVPN и Surfshark 8 ч.
NetApp улучшила интеграцию с тремя ведущими облачными провайдерами 9 ч.
Видео: боевая система и новая локация в свежем геймплейном трейлере Aeterna Noctis 11 ч.
Разработчики Starfield в новом видео рассказали о мире игры 12 ч.
В начале ноября тактическая ролевая игра Solasta: Crown of the Magister получит платное дополнение и новый патч 12 ч.
Марка Цукерберга решили привлечь к персональной ответственности по делу Cambridge Analytica 13 ч.
В новой экспедиции No Man's Sky игрокам дадут покататься на гигантском черве 13 ч.
Продвинутые версии Cyberpunk 2077 и The Witcher 3: Wild Hunt для консолей нового поколения задержатся до 2022 года 13 ч.
Фанаты недовольны: за подземелья из Destiny 2: The Witch Queen придётся заплатить отдельно 14 ч.