Бэкдор – перехватчик нажатий клавиатуры
Компания «Доктор Веб» сообщила о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная ее функция – перехват нажимаемых пользователем клавиш (кейлоггинг) и выполнение поступающих от злоумышленников команд.
Проникнув на компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe; после этого библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. Этот файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем Net Security Service и следующим описанием: keep watch on system security and configuration.if this services is stopped, protoected content might not be down loaded to the device. Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.
После запуска BackDoor.Saker.1 собирает и передает злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объем физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.
Сигнатура данной вредоносной программы добавлена в вирусные базы Dr.Web.