Dr. Web: Новый бэкдор действует как кейлоггер

image

Теги: бэкдор, кейлоггер

После загрузки вирус запускает файл temp.exe, главной целью которого является обход системы контроля учетных записей пользователей

Антивирусная компания Dr. Web сообщила об обнаружении нового бэкдора, способного обойти механизм контроля учетных записей пользователей. Способ действия вируса, идентифицируемого как BackDoor.Saker.1, напоминает кейлоггер, поскольку ему удается перехватывать нажимаемые пользователем клавиши.

После загрузки на компьютер бэкдор запускает файл temp.exe, главной целью которого является обход системы контроля учетных записей пользователей (User Accounts Control, UAC). Файл, в свою очередь, встраивается в процесс explorer.exe посредством открытия вредоносной библиотеки, которая затем сохраняется в одной из системных папок.

После запуска утилиты Sysprep библиотека запускает вредоносное приложение ps.exe, которое программа Dr.Web распознает как Trojan.MulDrop4.61259. Он открывает и сохраняет еще одну библиотеку, которая проходит регистрацию в Windows как служба «Net Security Service» с описанием «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device».

«После успешного запуска BackDoor.Saker.1 собирает и передает злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска», - утверждают специалисты компании.

По завершению сбора информации в системной папке создается файл, предназначенный для записывания нажатия пользователем клавиш на клавиатуре. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus