Dr. Web: Новый бэкдор действует как кейлоггер

image

Теги: бэкдор, кейлоггер

После загрузки вирус запускает файл temp.exe, главной целью которого является обход системы контроля учетных записей пользователей

Антивирусная компания Dr. Web сообщила об обнаружении нового бэкдора, способного обойти механизм контроля учетных записей пользователей. Способ действия вируса, идентифицируемого как BackDoor.Saker.1, напоминает кейлоггер, поскольку ему удается перехватывать нажимаемые пользователем клавиши.

После загрузки на компьютер бэкдор запускает файл temp.exe, главной целью которого является обход системы контроля учетных записей пользователей (User Accounts Control, UAC). Файл, в свою очередь, встраивается в процесс explorer.exe посредством открытия вредоносной библиотеки, которая затем сохраняется в одной из системных папок.

После запуска утилиты Sysprep библиотека запускает вредоносное приложение ps.exe, которое программа Dr.Web распознает как Trojan.MulDrop4.61259. Он открывает и сохраняет еще одну библиотеку, которая проходит регистрацию в Windows как служба «Net Security Service» с описанием «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device».

«После успешного запуска BackDoor.Saker.1 собирает и передает злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска», - утверждают специалисты компании.

По завершению сбора информации в системной папке создается файл, предназначенный для записывания нажатия пользователем клавиш на клавиатуре. 


или введите имя

CAPTCHA
Описторх.
10-09-2013 19:03:16
Кто нибудь может объяснить каким образом файл temp.exe не имея привилегий администратора или выше встроится в процесс explorer.exe посредством открытия вредоносной библиотеки, которая затем сохраняется в одной из системных папок?
0 |
Smith
10-09-2013 22:21:59
тоже интересно
0 |
вася
10-09-2013 23:29:34
вроде как explorer запускается с привилегиями пользователя. SO_DEBUG и вперед
0 |
el capo
11-09-2013 02:19:29
Все намного проще все виндовые екзешники подписаны и они запускаются с правами админа вот это с одной стороны с другой syspret находится в папке вот если туда скопировать нашу либу и назвать kernel32.dll то при запуске подписанный екзе зарузит ее ессно на атач в либе createprocess и этот процесс с правами админа ))) но скопировать нашу либу в syspret не так то просто хотя если в системе нет пароля то можно через сом скопировать ее туда
0 |
вася
11-09-2013 11:54:59
Explorer с привилегиями пользователя
0 |
ахо
17-01-2014 18:00:22
А когда он начнёт кричать на кейлогер от яндекса на пунто свитчере (дневник)?
0 |