cb44f1c6

Небезопасный Windows-бэкдор пускает свои FTP- и прокси-серверы

Организация «Врач Интернет» предостерегает о распространении небезопасной вредной платформы BackDoor.Yebot, направленной на индивидуальные ПК под регулированием ОС Виндоус.

Jayden Brookes/Corbis

Jayden Brookes/Corbis

Бэкдор проходит на ПК жертвы с помощью иного зловреда —  вируса Siggen6.31836. Запустившись на атакуемом ПК, данная платформа вделывает свой код в процессы svchost.exe, csrss.exe, lsass.exe и эксплорер.exe. После этого с бравённого компьютера грузится и расшифровывается прямо бэкдор Yebot. Сам вирус Siggen6.31836 интересен тем, что часть применяемых им функций зашифрована; также, данная платформа может нарушать технологию наблюдения учетных записей клиента (User Accounts Control, UAC).

Loop Images/Corbis

Loop Images/Corbis

Попав на ПК жертвы, бэкдор Yebot может делать наиболее различные действия. Среди главных функций зловреда стоит отметить:

  • старт Ftp;
  • старт Proxy5 прокси-сервера;
  • версия протокола RDP для снабжения бравённого доступа к инфицированной системе;
  • захват клавиатурного ввода;
  • захват данных по стандартам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу постоянных выражений в среде Perl, для чего троянец перехватывает все вероятные функции, сопряженные с работой в Сети-интернет;
  • захват токенов SCard;
  • встраивание в пробегаемые клиентом интернет-страницы чужого содержимого;
  • постановка перехватов разных системных функций зависимо от принятого конфигурационного документа;
  • версия кода заброшенного процесса;
  • взаимодействие с разными многофункциональными устройствами (плагинами);
  • образование скриншотов;
  • поиск в инфицированной системе частных ключей.

Также, как считают специалисты, вредная платформа может делать функции банковского вируса. Для размена данными с правящим компьютером BackDoor.Yebot применяет как обычный акт HTTP, так и свой двоичный акт. 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *