Обнаружен троян, который самоуничтожается в России
19 фев 2016 14:20 #33792
от ICT
ICT создал тему: Обнаружен троян, который самоуничтожается в России
Троян с геотаргетингом Аналитики компании «Доктор Веб» обнаружили троян, который автоматически завершает свою работу и удаляется из системы в случае обнаружения русской, украинской, белорусской или казахской раскладки клавиатуры. Эксперты не пояснили, с чем может быть связано такое поведение трояна.
Новый троян получил название BackDoor.Andromeda.1407. И его основное предназначение заключается в выполнении поступающих от злоумышленников команд, в том числе скачивания и установки иного вредоносного ПО, рассказали эксперты. В настоящий момент аналитикам «Доктора Веба» известно о том, что троян загружает и запускает на инфицированных компьютерах такие вредоносные приложения, как троян-шифровальщик Trojan.Encoder.3905, банковский троян Trojan.PWS.Panda.2401, трояны Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 и др. Заражение Windows BackDoor.Andromeda.1407 заражает компьютеры с операционными системами Windows, причем, в зависимости от версии, ведет себя различно. http://filearchive.cnews.ru/img/cnews/2016/02/19/trojan500.jpg"> [b]Новый троян самоликвидируется на ПК с русскими раскладками [/b] В Windows 8 и более новых троян продолжает работу с текущими привилегиями пользователя, тогда как в Windows 7 он пытается повысить права с использованием одного из широко известных способов. В компании не уточнили, что это за способ. [b]Скрытие присутствия [/b] При попадании в систему троян отключает отображение скрытых файлов, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется файл трояна со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя. При запуске троян проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test - OK», а затем завершается. «Вероятно, эта функция была предусмотрена вирусописателями для тестирования работы различных программных упаковщиков. [b]Защита от опасных программ[/b] После этого троян пытается определить, не запущены ли на компьютере виртуальные машины, приложения для мониторинга процессов или отслеживания обращений к системному реестру, а также некоторые другие программы-отладчики. Обнаружив любую опасную для себя программу, троян переходит в бесконечный режим сна, рассказали в «Докторе Вебе». [b]Связь с управляющим сервером[/b] Взаимодействие с управляющим сервером троян осуществляет с помощью специального зашифрованного ключа, при этом адреса командных узлов тоже хранятся в теле трояна зашифрованными. Чтобы узнать IP-адрес инфицированного компьютера, BackDoor.Andromeda.1407 обращается к серверам microsoft.com, update.microsoft.com, bing.com, google.com и yahoo.com, а передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) в зашифрованном виде. «Именно так бэкдор может получать от злоумышленников различные управляющие директивы, среди которых — команды на загрузку дополнительных плагинов, загрузку и запуск исполняемых файлов, самообновление троянца, удаление всех плагинов из зараженной системы или деинсталляцию самой вредоносной программы», — пояснили эксперты.[img]http://filearchive.cnews.ru/img/cnews/2016/02/19/trojan500.jpg">
Новый троян самоликвидируется на ПК с русскими раскладками В Windows 8 и более новых троян продолжает работу с текущими привилегиями пользователя, тогда как в Windows 7 он пытается повысить права с использованием одного из широко известных способов. В компании не уточнили, что это за способ. Скрытие присутствия При попадании в систему троян отключает отображение скрытых файлов, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется файл трояна со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя. При запуске троян проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test - OK», а затем завершается. «Вероятно, эта функция была предусмотрена вирусописателями для тестирования работы различных программных упаковщиков. Защита от опасных программ После этого троян пытается определить, не запущены ли на компьютере виртуальные машины, приложения для мониторинга процессов или отслеживания обращений к системному реестру, а также некоторые другие программы-отладчики. Обнаружив любую опасную для себя программу, троян переходит в бесконечный режим сна, рассказали в «Докторе Вебе». Связь с управляющим сервером Взаимодействие с управляющим сервером троян осуществляет с помощью специального зашифрованного ключа, при этом адреса командных узлов тоже хранятся в теле трояна зашифрованными. Чтобы узнать IP-адрес инфицированного компьютера, BackDoor.Andromeda.1407 обращается к серверам microsoft.com, update.microsoft.com, bing.com, google.com и yahoo.com, а передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) в зашифрованном виде. «Именно так бэкдор может получать от злоумышленников различные управляющие директивы, среди которых — команды на загрузку дополнительных плагинов, загрузку и запуск исполняемых файлов, самообновление троянца, удаление всех плагинов из зараженной системы или деинсталляцию самой вредоносной программы», — пояснили эксперты.
Новый троян получил название BackDoor.Andromeda.1407. И его основное предназначение заключается в выполнении поступающих от злоумышленников команд, в том числе скачивания и установки иного вредоносного ПО, рассказали эксперты. В настоящий момент аналитикам «Доктора Веба» известно о том, что троян загружает и запускает на инфицированных компьютерах такие вредоносные приложения, как троян-шифровальщик Trojan.Encoder.3905, банковский троян Trojan.PWS.Panda.2401, трояны Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 и др. Заражение Windows BackDoor.Andromeda.1407 заражает компьютеры с операционными системами Windows, причем, в зависимости от версии, ведет себя различно. http://filearchive.cnews.ru/img/cnews/2016/02/19/trojan500.jpg"> [b]Новый троян самоликвидируется на ПК с русскими раскладками [/b] В Windows 8 и более новых троян продолжает работу с текущими привилегиями пользователя, тогда как в Windows 7 он пытается повысить права с использованием одного из широко известных способов. В компании не уточнили, что это за способ. [b]Скрытие присутствия [/b] При попадании в систему троян отключает отображение скрытых файлов, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется файл трояна со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя. При запуске троян проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test - OK», а затем завершается. «Вероятно, эта функция была предусмотрена вирусописателями для тестирования работы различных программных упаковщиков. [b]Защита от опасных программ[/b] После этого троян пытается определить, не запущены ли на компьютере виртуальные машины, приложения для мониторинга процессов или отслеживания обращений к системному реестру, а также некоторые другие программы-отладчики. Обнаружив любую опасную для себя программу, троян переходит в бесконечный режим сна, рассказали в «Докторе Вебе». [b]Связь с управляющим сервером[/b] Взаимодействие с управляющим сервером троян осуществляет с помощью специального зашифрованного ключа, при этом адреса командных узлов тоже хранятся в теле трояна зашифрованными. Чтобы узнать IP-адрес инфицированного компьютера, BackDoor.Andromeda.1407 обращается к серверам microsoft.com, update.microsoft.com, bing.com, google.com и yahoo.com, а передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) в зашифрованном виде. «Именно так бэкдор может получать от злоумышленников различные управляющие директивы, среди которых — команды на загрузку дополнительных плагинов, загрузку и запуск исполняемых файлов, самообновление троянца, удаление всех плагинов из зараженной системы или деинсталляцию самой вредоносной программы», — пояснили эксперты.[img]http://filearchive.cnews.ru/img/cnews/2016/02/19/trojan500.jpg">
Новый троян самоликвидируется на ПК с русскими раскладками В Windows 8 и более новых троян продолжает работу с текущими привилегиями пользователя, тогда как в Windows 7 он пытается повысить права с использованием одного из широко известных способов. В компании не уточнили, что это за способ. Скрытие присутствия При попадании в систему троян отключает отображение скрытых файлов, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется файл трояна со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя. При запуске троян проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test - OK», а затем завершается. «Вероятно, эта функция была предусмотрена вирусописателями для тестирования работы различных программных упаковщиков. Защита от опасных программ После этого троян пытается определить, не запущены ли на компьютере виртуальные машины, приложения для мониторинга процессов или отслеживания обращений к системному реестру, а также некоторые другие программы-отладчики. Обнаружив любую опасную для себя программу, троян переходит в бесконечный режим сна, рассказали в «Докторе Вебе». Связь с управляющим сервером Взаимодействие с управляющим сервером троян осуществляет с помощью специального зашифрованного ключа, при этом адреса командных узлов тоже хранятся в теле трояна зашифрованными. Чтобы узнать IP-адрес инфицированного компьютера, BackDoor.Andromeda.1407 обращается к серверам microsoft.com, update.microsoft.com, bing.com, google.com и yahoo.com, а передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) в зашифрованном виде. «Именно так бэкдор может получать от злоумышленников различные управляющие директивы, среди которых — команды на загрузку дополнительных плагинов, загрузку и запуск исполняемых файлов, самообновление троянца, удаление всех плагинов из зараженной системы или деинсталляцию самой вредоносной программы», — пояснили эксперты.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
| Тема | Релевантность | Дата |
|---|---|---|
| Обнаружен троян, который не работает в России, Украине, Белоруссии и Казахстане | 22.5 | Пятница, 19 февраля 2016 |
| Более чем в 100 приложениях для Android обнаружен рекламный троян | 14.51 | Четверг, 31 марта 2016 |
| Обнаружен Windows-троян, заражающий Linux-устройства | 14.51 | Понедельник, 06 февраля 2017 |
| Обнаружен «троян будущего». Как он ворует деньги пользователей? | 14.51 | Понедельник, 15 октября 2018 |
| Впервые обнаружен троян, целиком шифрующий жесткий диск в ПК | 14.35 | Пятница, 25 марта 2016 |
| Обнаружен новый троян, атакующий только компьютеры россиян | 14.35 | Вторник, 05 июля 2016 |
| Опасный троян обнаружен в прошивке Android-смартфона Philips s307 | 14.2 | Среда, 20 января 2016 |
| Мобильные вирусы: Обнаружен новый Android-троян похищающий деньги пользователей | 14.05 | Четверг, 30 апреля 2015 |
| Эксперты нашли Android-троян, который может вызвать перегрев батареи смартфона | 11.73 | Вторник, 19 декабря 2017 |
| Россияне нашли Linux-троян, который берет в плен Raspberry Pi и заставляет добывать криптовалюту | 11.61 | Пятница, 09 июня 2017 |