Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Nowy backdoor atakuje użytkowników systemu Windows

6 maja 2016

Backdoory są zazwyczaj projektowane do wykonywania na zainfekowanej maszynie poleceń cyberprzestępców. Z reguły są używane do uzyskania zdalnego dostępu do prywatnych informacji użytkownika. Analitycy bezpieczeństwa Doctor Web wykryli ostatnio kolejnego reprezentanta wymienionej kategorii — wirusa BackDoor.Apper.1.

Trojan jest dystrybuowany z użyciem programu typu dropper w formie pliku Microsoft Excel zawierającego specjalne makra. Te makra zbierają bajt po bajcie samorozpakowujące się archiwum i uruchamiają je. Archiwum zawiera plik wykonywalny, posiadający ważny podpis cyfrowy zarejestrowany dla firmy Symantec i bibliotekę dynamiczną, w której zaimplementowano wszystkie główne funkcje trojana. BackDoor.Apper.1 rejestruje ten plik wykonywalny w usłudze autorun, który z kolei po uruchomieniu ładuje złośliwą bibliotekę do pamięci zainfekowanego komputera.

screen #drweb

BackDoor.Apper.1 został zaprojektowany głownie do wykradania plików z zainfekowanej maszyny. Gdy złośliwa aplikacja zostanie zarejestrowana w usłudze autorun, trojan usuwa swój oryginalny plik.

Po uruchomieniu BackDoor.Apper.1 działa jako keylogger — przechwytuje naciśnięcia klawiszy i zapisuje je w zaszyfrowanym pliku. Dodatkowo trojan potrafi monitorować system plików komputera. Jeśli komputer posiada plik konfiguracyjny zawierający ścieżki do folderów których status jest monitorowany przez trojana, BackDoor.Apper.1 loguje wszystkie zmiany w tych folderach i wysyła je na serwer.

Przed połączeniem się z serwerem, backdoor zbiera następujące dane o zainfekowanym komputerze: jego nazwę, wersję systemu operacyjnego i informacje o procesorze, pamięci RAM i napędach. Te informacje są następnie przesyłane na serwer. Potem trojan pozyskuje bardziej szczegółowe dane o napędach komputera, które są wysyłane do cyberprzestępców razem z plikiem keloggera. Następnie BackDoor.Apper.1 oczekuje na polecenia z serwera.

Aby odebrać instrukcje, trojan wysyła na serwer specjalne żądanie. Po otrzymaniu komendy, malware potrafi wysyłać konkretny plik lub informację o określonym folderze, usunąć plik lub zmienić jego nazwę, stworzyć nowy folder, oraz wykonać zrzut ekranu i wysłać go do agresorów.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają BackDoor.Apper.1, dlatego ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A