28 октября 2011 г.

Аналитики компании «Доктор Веб» — российского разработчика средств информационной безопасности — отмечают рост числа новых модификаций семейства троянских программ BackDoor.Butirat. Эти вредоносные программы способны загружать из Интернета и запускать различные файлы, передавать злоумышленникам информацию с инфицированного компьютера и перехватывать трафик установленных в системе браузеров.

Вредоносные программы семейства BackDoor.Butirat известны еще с 2010 года. На сегодняшний день в вирусных базах Dr.Web насчитывается более 30 различных версий этого троянца. Интересно, что данный бэкдор не теряет своей популярности у распространителей вирусов: он по-прежнему часто загружается с различных сайтов, распространяющих вредоносное ПО. Можно предположить, что широкое распространение этой вредоносной программы связано с относительной легкостью ее модификации. Кроме того, злоумышленники регулярно перепаковывают новые версии BackDoor.Butirat, что порой затрудняет их детектирование.

Ранние модификации BackDoor.Butirat распространялись в виде динамической библиотеки, написанной на языке С++. Троянец отправлял различные запросы в баннерообменные сети для активации того или иного баннера. К классу бэкдоров его отнесли прежде всего потому, что он позволял выполнять различные директивы, поступающие с удаленного командного центра, например, команду на обновление.

Более поздние реализации BackDoor.Butirat значительно расширили свои функциональные возможности. Например, BackDoor.Butirat.25, добавленный в вирусные базы в октябре 2011 года, обладает не только возможностью обработки удаленных команд, но и способностью модифицировать в своей копии дату PE-заголовка с целью изменения хеша файла. Эта версия BackDoor.Butirat также связана с рекламой: помимо иного функционала, она использует ресурсы систем контекстных объявлений (begun.ru и др.) для генерации нажатий на различные баннеры.

Отличительной особенностью троянцев семейства BackDoor.Butirat является то, что после своего запуска они создают в системной папке ApplicationData файл netprotocol.exe и регистрируют его в ветви реестра, отвечающей за автозапуск приложений. Основная опасность для пользователя, которую несут в себе троянцы семейства BackDoor.Butirat, заключается в том, что они способны загружать с удаленного узла и запускать на выполнение произвольные приложения, а также передавать злоумышленникам различные файлы с инфицированного компьютера. В частности, в последнее время BackDoor.Butirat.25 скачивает на инфицированный компьютер троянца Trojan.Hosts.5006, ворующего пароли систем онлайн-банкинга Сбербанка и Альфа-Банка.

Кроме того, отдельные модификации BackDoor.Butirat могут перехватывать входящий и исходящий трафик в различных браузерах (опасности подвержены, прежде всего, Internet Explorer, Firefox и Opera), благодаря чему злоумышленники могут отслеживать поисковые запросы пользователей к поисковым системам Yandex, Google, Yahoo, Nigma, Bing, Rambler, search.qip.ru, Rupoisk.ru и перенаправлять браузер на различные сайты, список которых передается троянцу с удаленного командного центра.

Антивирусная лаборатория компании «Доктор Веб» регулярно регистрирует появление новых модификаций BackDoor.Butirat, и все они оперативно добавляются в вирусные базы Dr.Web. Пользователи антивирусных продуктов, разработанных компанией «Доктор Веб» полностью защищены от данного типа угроз.