«Доктор Веб» обнаружил троянца, который отказывается работать в России, Украине, Белоруссии и Казахстане

Автор: SergNev. Опубликовано в Новости мира ПК и ИТ

23022016 1

Антивирусные аналитики компании «Доктор Веб» в этом месяце зафиксировали активность новой троянской программы под названием BackDoor.Andromeda.1407, которая распространяется при помощи другого троянца-загрузчика — Trojan.Sathurbot.1.

Основное предназначение BackDoor.Andromeda.1407 — выполнение поступающих от злоумышленников директив, в том числе загрузка и установка дополнительных плагинов, а также иного вредоносного ПО. При этом взаимодействие с управляющим сервером бекдор осуществляет с помощью специального зашифрованного ключа, адреса командных узлов также хранятся в теле вредоноса в зашифрованном виде. Передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) с применением метода криптографии.

При запуске в инфицированной системе бекдор проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test – OK», а затем завершается. В случае обнаружения любой опасной для себя программы, BackDoor.Andromeda.1407 переходит в бесконечный режим сна.

Затем бекдор считывает серийный номер системного тома жесткого диска, который требуется для генерации значений различных именованных объектов. Сразу после своего запуска зловред путем инжекта пытается перебраться в новый процесс, а исходный — завершить. Это позволяет ему попутно собирать различные сведения об инфицированной машине, включая разрядность и версию ОС, права текущего пользователя и настроенные на атакованном компьютере раскладки клавиатуры. И тут начинается самое интересное: если BackDoor.Andromeda.1407 обнаруживает в Windows наличие русской, украинской, белорусской или казахской раскладок, он завершается и сам удаляется из системы.

Войдите чтобы комментировать

Еще статьи...

© "Дельта Информ", Магнитогорск,  2005 - 2024. Designed by Dimm © 2012 - 2024 Point