«Доктор Веб» исследовал бэкдор, написанный на Python
17 окт 2017 10:40 #62362
от ICT
ICT создал тему: «Доктор Веб» исследовал бэкдор, написанный на Python
Аналитики «Доктор Веб» исследовали новый бэкдор, особенность которого заключается в том, что он написан на языке Python. Бэкдорами принято называть вредоносные программы, способные выполнять поступающие от злоумышленников команды и предоставлять им возможность несанкционированного управления инфицированным устройством. Вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33. Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc. Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы. После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку. Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в интернете, включая pastebin.com, docs.google.com и notes.io. Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark; фиксировать нажатия клавиш и делать снимки экрана; загружать дополнительные модули на Python и исполнять их; скачивать файлы и сохранять их на носителе инфицированного устройства; получать содержимое заданной папки; перемещаться по папкам; запрашивать информацию о системе. Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована. Сигнатуры всех упомянутых выше вредоносных программ добавлены в вирусные базы Dr.Web и не представляют опасности для наших пользователей. Your browser does not support the video tag.
CNews Forum 2017: Информационные технологии завтра
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
«Доктор Веб» исследовал Linux-троян, написанный на Rust | 25.1 | Четверг, 08 сентября 2016 |
"Доктор Веб" исследовал новый троян-шпион для Mac OS X | 15.03 | Среда, 04 марта 2015 |
«Доктор Веб» исследовал новый троян для Linux | 15.03 | Четверг, 03 декабря 2015 |
«Доктор Веб» исследовал многокомпонентного троянца для Linux | 15.03 | Четверг, 25 мая 2017 |
«Доктор Веб» изучил бэкдор для Linux | 14.93 | Четверг, 20 октября 2016 |
«Доктор Веб» обнаружила новый бэкдор для Mac | 14.93 | Пятница, 12 мая 2017 |
«Доктор Веб» исследовал установщик нежелательного ПО и «неудаляемой» рекламы | 14.86 | Пятница, 16 декабря 2016 |
«Доктор Веб» исследовал новый банковский троян для Windows | 14.86 | Понедельник, 13 февраля 2017 |
«Доктор Веб» исследовал новый эксплойт для Microsoft Office | 14.86 | Четверг, 20 апреля 2017 |
«Доктор Веб» обнаружил многофункциональный бэкдор для Linux | 14.77 | Пятница, 22 января 2016 |