Новый троянец, крадущий пароли FTP-клиентов

Компания «Доктор Веб» предупредила о распространении вредоносной программы BackDoor.IRC.Codex.1, способной запускать на инфицированной машине загруженные из Интернета файлы, участвовать в DDoS-атаках и красть пароли от популярных FTP-клиентов и данные Web-форм. Троянец функционально похож на другую популярную вредоносную программу, BackDoor.IRC.Aryan.1, заразившую большое число компьютеров по всему миру.

Как и предшественники, BackDoor.IRC.Codex.1 использует для координации своих действий протокол IRC (Internet Relay Chat) для обмена сообщениями в режиме реального времени. Запустившись на компьютере жертвы, троянец ищет в памяти и удаляет процесс командного интерпретатора Windows (cmd.exe), после чего сохраняет свою копию в одной из папок и модифицирует реестр Windows, прописывая путь к месту расположения исполняемого файла в ветвь, отвечающую за автоматическую загрузку приложений. При этом BackDoor.IRC.Codex.1 постоянно следит за состоянием этой ветви реестра и восстанавливает необходимые значения в случае их удаления.

После запуска программа BackDoor.IRC.Codex.1 выполняет ряд манипуляций, направленных на противодействие ее анализу: троянец ищет в памяти инфицированного компьютера процессы некоторых отладчиков, а также определяет, не запущен ли он в виртуальной машине. Также троянец проверяет наличие себя в ОС, сравнивая папку, из которой он был запущен, с директорией, в которую он сохраняет собственную копию. Затем BackDoor.IRC.Codex.1 встраивает собственную процедуру во все активные процессы, а также запускает ее в виде отдельного потока в собственном процессе.

Эта вредоносная программа обладает достаточно развитым функционалом: она способна загружать с удаленного сервера и запускать на инфицированном компьютере различные приложения, принимать участие в DDoS-атаках, передавать злоумышленникам информацию, вводимую пользователем в Web-формы, и красть пароли от популярных FTP-клиентов.