Avira для Windows 10 info@avirus.ru

Новый бэкдор перехватывает данные с клавиатуры

Антивирусная компания "Доктор Веб" предупреждает пользователей ПК о массовом распространении новой вирусной программы - BackDoor.Saker.1, которая выполняет удаленные команды от злоумышленника на компьютере жертвы, а также перехватывает нажимаемые клавиши пользователем, так сказать выполняет функцию кейлоггера (keylogger).

Попав на компьютер жертвы, троян запускает некий файл temp.exe, который служит для обхода системы контроля учетных записей (UAC). Далее файл извлекает из ресурсов библиотеку обхода системы UAC и встраивает себя в процесс explorer.exe, после чего сохраняет данную библиотеку в одну из системных папок.

При запуске системной утилиты Sysprep, сохраненная библиотека запускает некое приложение ps.exe, которое определяется антивирусом Dr.Web как Trojan.MulDrop4.61259, далее файл сохраняет в одну из системных директорий другую библиотеку, которую и регистрирует в системном реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». Именно в этой библиотеке и находится весь функционал вредоносного трояна.

После запуска BackDoor.Saker.1 собирает различную информацию о компьютере жертвы, вплоть до частоты процессора, установленной оперативной памяти, имя компьютера, имя пользователя и даже серийный номер жесткого диска. После этого троян создает файл, куда и записываются все нажимаемые клавиши пользователем.

По завершению этих процедур, бэкдор связывается с сервером и принимает различные команды от хакера, это может быть удаленное выключение, перезагрузка, удаление файлов, перемещение файлов, также злоумышленник может загружать файлы как с компьютера жертвы, так и на него, и в дальнейшем исполнять эти файлы.

Источник: www.soft.mail.ru