Вы используете устаревший браузер!

Страница может отображаться некорректно.

Бесплатно демо
Dr.Web для Android
Скачать

Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все:
  • Незакрытые:
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Профиль

Назад к списку новостей

Новый бэкдор угрожает пользователям Windows

8 апреля 2015 года

Специалисты компании «Доктор Веб» исследовали новую вредоносную программу, способную выполнять поступающие от злоумышленников команды и передавать на удаленный сервер сделанные на инфицированном компьютере снимки экрана. Бэкдор обладает механизмами проверки наличия на атакуемом компьютере виртуальной среды и антивирусных программ.

Троянец, получивший наименование VBS.BackDoor.DuCk.1, написан на языке Visual Basic Script и распространяется в виде файла ярлыка с расширением .lnk, в содержимое которого записан запакованный VBS-сценарий. При открытии ярлыка VBS-скрипт извлекается и сохраняется в виде отдельного файла, после чего происходит его запуск.

Троянец VBS.BackDoor.DuCk.1 использует весьма примечательный способ определения адреса управляющего сервера. В начале VBS-сценария предусмотрено три ссылки: две — на страницы видеохостинга YouTube, а еще одна — на страницу облачного сервиса Dropbox.

screen

Троянец отправляет на данные ресурсы GET-запрос и в поступившем ответе выполняет поиск с заданным вирусописателями регулярным выражением: our (.*)th psy anniversary. Полученное в результате поиска значение делится на 31 337 — итог этой математической операции представляет собой число, которое после перевода в шестнадцатеричную форму соответствует значению IP-адреса управляющего сервера. Для проверки его работоспособности троянец отправляет по указанному адресу специальный GET-запрос и проверяет в ответе наличие строки «ОКОКОК».

VBS.BackDoor.DuCk.1 обладает специальным механизмом проверки наличия на атакуемом компьютере виртуальной среды, а также работающих процессов различных приложений для мониторинга операционной системы. Также в самом бэкдоре реализовано выявление на инфицированном компьютере нескольких антивирусных программ (в случае обнаружения таковых троянец не выполняет один из своих сценариев).

В директории текущего пользователя Windows VBS.BackDoor.DuCk.1 создает вложенную папку, которую использует в качестве рабочей. В целях маскировки троянец сохраняет в папке для размещения временных файлов документ vtoroy_doc.doc и демонстрирует его пользователю:

screen

При этом можно предположить, что изначально злоумышленники планировали использовать в качестве «приманки» презентацию PowerPoint, поскольку в коде троянца реализован алгоритм завершения процесса данного приложения (если установлен соответствующий флаг), однако по каким-то причинам передумали.

Для создания снимков экрана бэкдор использует собственную библиотеку, при этом сами скриншоты сохраняются во временную папку в виде файлов с расширением .tmp. С помощью специального REG-файла троянец отключает расширения браузера Microsoft Internet Explorer, а если вредоносная программа запущена в операционной системе Windows Vista, то с помощью другого REG-файла VBS.BackDoor.DuCk.1 отключает в данном браузере режим protected. Помимо этого, VBS.BackDoor.DuCk.1 реализует собственный автоматический запуск путем размещения в папке автозагрузки соответствующего ярлыка:

screen

screen

Для получения команд от управляющего сервера троянец с интервалом в одну минуту направляет на него соответствующий запрос. Среди специальных команд VBS.BackDoor.DuCk.1 может выполнить скачивание на инфицированный компьютер другого вредоносного приложения, либо с помощью запроса загрузить снимки экрана на удаленный сервер. Все остальные команды VBS.BackDoor.DuCk.1 передает командному интерпретатору CMD или PowerShell. Также данный бэкдор способен выполнить на зараженной машине Python-сценарий, результаты работы которого в зашифрованном виде передаются на принадлежащий злоумышленникам сервер.

Сигнатура VBS.BackDoor.DuCk.1 добавлена в вирусную базу Dr.Web, и потому эта вредоносная программа более не представляет опасности для пользователей антивирусных продуктов компании «Доктор Веб».

Подробности о троянце

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2017

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А