Byte/RE ИТ-издание

Бэкдор для шпионажа и кражи документов

По сообщению компании «Доктор Веб», ее специалистами обнаружен троянец, предназначенный для кражи документов и шпионажа и нацеленный на пользователей Microsoft Windows. Троянец BackDoor.Apper.1 распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив. Архив, в свою очередь, содержит исполняемый файл, имеющий действительную цифровую подпись компании Symantec, и динамическую библиотеку, в которой сосредоточен основной функционал бэкдора. Троянец регистрирует в автозагрузке исполняемый файл, который после запуска загружает в память атакуемого компьютера вредоносную библиотеку.

Основное предназначение BackDoor.Apper.1 – кража с инфицированного компьютера различных документов. Зарегистрировав собственное приложение в автозагрузке, троянец удаляет исходный файл.

После успешного запуска BackDoor.Apper.1 действует как кейлоггер: фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Еще одна функция троянца – мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троянец должен отслеживать, BackDoor.Apper.1 будет фиксировать все изменения в этих папках и передавать эту информацию на управляющий сервер.

Перед установкой связи с командным сервером бэкдор собирает данные о зараженном компьютере: имя, версию ОС, сведения о процессоре, оперативной памяти и дисках, и отсылает полученные сведения злоумышленникам. Затем троянец добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера. Вслед за этим BackDoor.Apper.1 переходит в режим ожидания команд.

Для получения директивы троянец отправляет на управляющий сервер специальный запрос. Среди прочего он может по команде переслать злоумышленникам сведения о содержимом заданной папки или указанный ими файл, удалить или переименовать какой-либо файловый объект, создать на зараженном компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий киберпреступникам сервер.

Как подчеркивают в компании, «Антивирус Dr.Web» детектирует и удаляет данного троянца.

Вам также могут понравиться