«Dr. Web» предупреждает об активизации темпов роста троянца BackDoor.Saker.1, обходящего защитный механизм пользовательских учетных записей. Основное предназначение BackDoor.Saker.1 состоит в выполнении команд злоумышленников и, основное, — кейлогинге, то есть считывании нажатий пользователя по клавиатуре.
Проникнув в ПК, троян приступает к запуску исполняемого файла temp.exe, необходимого для безболезненного обхода контрольной защиты пользовательских аккаунтов (UAC), чтобы обойти которую temp.exe извлекает файловую библиотеку и производит встраивание в запущенный explorer.exe. Затем извлеченная библиотека располагается в какой-нибудь системной папке.
Впоследствии, одновременно с запуском Sysprep, библиотекой запускается вредоносная утилита ps.exe, с запуском которой происходит открытие еще одной библиотеки, которую ps.exe «прописывает» в реестре системы. В той библиотеке и находится главный вредоносный инструментарий бэкдора.
При успешном встраивании BackDoor.Saker.1 считывает и направляет хакерам информацию об инфицируемом ПК, в том числе о версии его ОС, именах компьютера и пользователя, частоте процессора, объёме памяти и проч.
И по завершению «прописки» троян создает файл, куда и записываются пользовательские клики по клавиатуре.
Впоследствии бэкдор ждет ответа от управляющего сервера на выполнение определенной команды: выключения ПК, перезагрузке, самоудаления или запуска своего файлового менеджера, через который и происходит выгрузка файлов с зараженного ПК.
Отправить ответ