16 października 2017

Backdoory to złośliwe programy które potrafią wykonywać polecenia cyberprzestępców, pozwalając im na nielegalne kontrolowanie zainfekowanego urządzenia. Analitycy Doctor Web przebadali nowego backdoora, którego główną cechą jest to, że został napisany w języku Python.

Ten złośliwy program został dodany do baz wirusów Dr.Web pod nazwą Python.BackDoor.33. Trojan zawiera spakowane narzędzie py2exe, co pozwala skryptom w języku Python na uruchamianie się w systemie Windows w postaci zwykłych plików wykonywalnych. Funkcje tego złośliwego programu zostały zaimplementowane w pliku mscore.pyc.

Python.BackDoor.33 zapisuje swoją kopię w folderze na dysku, modyfikuje rejestr systemu Windows aby zapewnić sobie ponowne uruchomienie i kończy pracę skryptu. Tym samym główne złośliwe funkcje backdoora są wykonywane po ponownym uruchomieniu systemu.

Po ponownym uruchomieniu komputera trojan próbuje zainfekować wszystkie dyski urządzenia o nazwach od C do Z. W tym celu tworzy ukryty folder, zapisuje w nim kopię swojego pliku wykonywalnego (również z atrybutem “ukryty”), po czym tworzy link do głównego katalogu dysku w postaci <volume name>.lnk, który odwołuje się do złośliwego pliku wykonywalnego. Wszystkie pliki różniące się od .lnk, VolumeInformation.exe i .vbs są przenoszone do ukrytego folderu stworzonego wcześniej przez wirusa.

Następnie trojan próbuje zdefiniować adres IP i dostępny port serwera kontrolno-zarządzającego wysyłając żądanie na kilka serwerów w Internecie, włączając pastebin.com, docs.google.com i notes.io. Odebrana wartość wygląda następująco:

Jeśli backdoor z powodzeniem uzyskał adres IP i port serwera kontrolno-zarządzającego, wysyła na serwer specjalne żądanie. Jeśli trojan odbierze odpowiedź, to pobierze z serwera C&C skrypt w języku Python, dodany do baz wirusów Dr.Web jako Python.BackDoor.35 i uruchomi go na zainfekowanym urządzeniu. Ten skrypt implementuje funkcje służące do wykradania haseł (stealer), przechwytywania naciskanych klawiszy (keylogger) i wykonywania zdalnych poleceń (backdoor). Ten trojan potrafi również skanować dowolne nośniki danych podłączone do zainfekowanego urządzenia i infekować je w podobny sposób. W szczególności, Python.BackDoor.35 pozwala cyberprzestępcom na:

• Wykradanie informacji z takich przeglądarek jak Chrome, Opera, Yandex, Amigo, Torch i Spark;
• Realizowanie funkcji keyloggera i wykonywanie zrzutów ekranu;
• Pobieranie dodatkowych modułów napisanych w języku Python i wykonywanie ich;
• Pobieranie plików i zapisywanie ich na nośnikach danych w zainfekowanym urządzeniu;
• Pozyskiwanie zawartości określonego folderu;
• “Podróżowanie” przez foldery;
• Wygenerowanie informacji o systemie.

Warto też nadmienić, że struktura Python.BackDoor.35 posiada funkcję samoaktualizacji, jednakże, na chwilę obecną nie jest ona wykorzystywana. Wszystkie wymienione wcześniej programy zostały dodane do baz wirusów Dr.Web i tym samym nie stanowią zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana