Анализ троянца BackDoor.Butirat.91

По сообщению компании «Доктор Веб», ее специалисты провели анализ распространенной угрозы – троянца BackDoor.Butirat.91, который несколько месяцев располагался на втором месте в рейтинге наиболее распространенных угроз, обнаруживаемых на дисках пользовательских компьютеров.

BackDoor.Butirat.91 – это троянец-бэкдор, позволяющий загружать на инфицированный компьютер и запускать на нем исполняемые файлы, а также воровать пароли популярных FTP-клиентов. Для обычного пользователя это чревато утечкой конфиденциальных данных в руки злоумышленников, а также вероятностью потери контроля над работой собственного ПК.

В момент запуска вредоносная программа обращается к системному реестру Windows с целью определить, не установлена ли уже ее копия: если наличие на инфицированном ПК троянца BackDoor.Butirat.91 подтверждается, процесс установки не запускается. Если инсталляция началась, BackDoor.Butirat.91 создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows он автоматически запускался.

В качестве хранилища данных троянец использует специальный файл, расположенный в той же папке, где и само приложение. После успешного запуска троянец устанавливает соединение с сервером злоумышленников для получения зашифрованных директив. Одно из основных функциональных назначений BackDoor.Butirat.91 — кража и передача злоумышленникам паролей от FTP-клиентов, среди которых — FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP. Троянец также способен загружать с удаленных узлов и запускать на инфицированной машине исполняемые файлы и «накручивать» показатели счетчиков посещаемости Web-страниц. Попытки скачать заданный злоумышленниками файл троянец осуществляет трижды с интервалом в 60 с.