Производители

Опасный бэкдор угрожает пользователям Windows

Специалисты компании «Доктор Веб» провели исследование опасного троянца-бэкдора, способного заражать компьютеры под управлением Microsoft Windows. Вредоносная программа, получившая наименование BackDoor.Yebot, может выполнять на инфицированной машине широчайший диапазон деструктивных действий, в частности, запускать собственный FTP и прокси-сервер, искать различную информацию по команде злоумышленников, фиксировать нажатие пользователем клавиш, передавать на удаленный сервер снимки экрана и многое другое.

Троянец BackDoor.Yebot распространяется с использованием другой вредоносной программы, добавленной в вирусные базы Dr.Web под именем Trojan.Siggen6.31836. Запустившись на атакуемом компьютере, это опасное приложение встраивает собственный код в процессы svchost.exe, csrss.exe, lsass.exe и explorer.exe, после чего, отправив на удаленный сервер соответствующий запрос, загружает и расшифровывает троянца BackDoor.Yebot, настраивает его в памяти компьютера и передает ему управление. Сам Trojan.Siggen6.31836примечателен тем, что часть используемых им функций зашифрована (причем расшифровываются они только в момент выполнения, для чего троянец резервирует память, которая автоматически освобождается после исполнения кода функции). Также эта вредоносная программа обладает механизмами проверки наличия в атакуемой системе виртуальной машины и обхода системы контроля учетных записей пользователя (User Accounts Control, UAC).


Бэкдор BackDoor.Yebot обладает следующими функциональными возможностями: 

• запуск на инфицированном компьютере FTP-сервера; • запуск на инфицированном компьютере Socks5 прокси-сервера; 
• модификация протокола RDP для обеспечения удаленного доступа к инфицированному компьютеру; 
• фиксация нажатий пользователем клавиш (кейлоггинг); 
• возможность установки обратной связи с инфицированным ПК для FTP, RDP и Socks5, если в сети используется NAT (бэкконнект); 
• перехват данных по шаблонам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу регулярных выражений в среде Perl, для чего троянец перехватывает все возможные функции, связанные с работой в Интернете; 
• перехват токенов SCard; 
• встраивание в просматриваемые пользователем веб-страницы постороннего содержимого (веб-инжекты); 
• расстановка перехватов различных системных функций в зависимости от принятого конфигурационного файла; 
• модификация кода запущенного процесса в зависимости от принятого конфигурационного файла; 
• взаимодействие с различными функциональными модулями (плагинами); 
• создание снимков экрана; 
• поиск в инфицированной системе приватных ключей. 

Для обмена данными с управляющим сервером BackDoor.Yebot использует как стандартный протокол HTTP, так и собственный бинарный протокол. При этом управляющий сервер троянца обладает параноидальными настройками: например, он может занести IP-адрес в черный список при поступлении с него некорректного запроса или при поступлении слишком большого количества запросов с одного IP-адреса. 

Специалисты компании «Доктор Веб» предполагают, что BackDoor.Yebot может использоваться злоумышленниками в том числе в качестве банковского троянца: фактически он универсален в силу достаточно развитого ассортимента функциональных возможностей и способности взаимодействовать с различными дополнительными модулями. Сигнатуры BackDoor.Yebot и Trojan.Siggen6.31836 добавлены в вирусные базы, потому эти вредоносные программы не представляют опасности для пользователей антивирусных продуктов Dr.Web.