В конце прошлой недели стало известно от US-CERTо том, что в софте распространяющимся с Energizer DUO USB присутствует бэкдор. А в пятницу Energizer заявилао том, что отзывает продажи этого устройства. Сейчас сэмпл бэкдора можно найти на Internet Archive, на сайте которого сохранена оригинальная страница, в том виде, когда с нее распространялся бэкдор. Судя по всему попал он туда не случайно, но сколько пользователей подвергло себя потенциальной угрозе можно только догадываться.
В состав Metasploitуже включен модуль energizer_duo_detectдля использования этого бэкдора.
Сам бэкдор не представляет ничего нового или интересного, функционал довольно стандартный и в системе не пытается себя как-то скрывать. Видимо создатели надеялись на распространение в составе легальной программы, но случайно спалились. При старте бэкдора в системе создается мьютекс CreateMutexA(0, 0, "liuhong-061220"), например для того, чтобы другие вредоносные программы могли использовать этот модуль. Но большинство антивирусных продуктов уже добавили этот бэкдор в свои базы. Данные VirusTotalпо детектам.
Бэкдор в зарядниках Energizer DUO USB
Бэкдор в зарядниках Energizer DUO USB
