Вниз

19 Сентябрь 2013

Новый бэкдор-клавиатурный шпион активно распространяется по интернету

BackDoor.Saker.1

«Dr. Web» предупреждает об активизации темпов роста троянца BackDoor.Saker.1, обходящего защитный механизм пользовательских учетных записей. Основное предназначение BackDoor.Saker.1 состоит в выполнении команд злоумышленников и, основное, - кейлогинге, то есть считывании нажатий пользователя по клавиатуре.

Проникнув в ПК, троян приступает к запуску исполняемого файла temp.exe, необходимого для безболезненного обхода контрольной защиты пользовательских аккаунтов (UAC), чтобы обойти которую temp.exe извлекает файловую библиотеку и производит встраивание в запущенный explorer.exe. Затем извлеченная библиотека располагается в какой-нибудь системной папке.

Впоследствии, одновременно с запуском Sysprep, библиотекой запускается вредоносная утилита ps.exe, с запуском которой происходит открытие еще одной библиотеки, которую ps.exe «прописывает» в реестре системы. В той библиотеке и находится главный вредоносный инструментарий бэкдора.

При успешном встраивании BackDoor.Saker.1 считывает и направляет хакерам информацию об инфицируемом ПК, в том числе о версии его ОС, именах компьютера и пользователя, частоте процессора, объёме памяти и проч.

И по завершению «прописки» троян создает файл, куда и записываются пользовательские клики по клавиатуре.

Впоследствии бэкдор ждет ответа от управляющего сервера на выполнение определенной команды: выключения ПК, перезагрузке, самоудаления или запуска своего файлового менеджера, через который и происходит выгрузка файлов с зараженного ПК.

Еще из рубрики Заметки

Поделись своими мыслями!

(обязательно)
(обязательно)

Почтовые адреса не публикуются.

Подпишись на комментарии