Новый бэкдор перехватывает вводимые с клавиатуры данные

Александр Панасенко 09 Сентября 2013 - 18:51

Общее

Доктор Веб

Бэкдоры

Вредоносные программы

Кейлоггеры

Шпионские программы

...

Компания «Доктор Веб» предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 — выполнение поступающих от злоумышленников команд, и, главное, перехват нажимаемых пользователем клавиш (кейлоггинг).

Проникнув на инфицируемый компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. В свою очередь, данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и следующим описанием: «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора, сообщает news.drweb.com

После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 31 Января 2025 - 15:56

Соответствие законодательству РФ Домашние пользователи Государство

Глава РАЭК Сергей Гребенников арестован по делу о наркотиках

Тверской суд Москвы арестовал директора Российской ассоциации электронных коммуникаций (РАЭК) Сергея Гребенникова. Ему предъявлено обвинение по части 3 статьи 30 и пункту «б» части 3 статьи 228.1 УК РФ (незаконное производство, сбыт или пересылка наркотических средств, психотропных веществ или их аналогов).

Решение об аресте вступило в силу 29 января, однако информация о деле появилась на сайте суда лишь 31 января.

«Постановлением Тверского районного суда Москвы удовлетворено ходатайство следователя об избрании меры пресечения в виде заключения под стражу в отношении Сергея Владимировича Гребенникова, обвиняемого в совершении преступления, предусмотренного ст. 30, п. "б" ч. 3 ст. 228.1 УК РФ, на срок 1 месяц 19 суток», — сообщила пресс-служба судов общей юрисдикции Москвы.

По данным источников «Газеты.Ru» в правоохранительных органах, уголовное дело против Гребенникова было возбуждено 16 января. 24 января его задержали в центре Москвы с 2 граммами мефедрона. Источники ТАСС утверждают, что у него также обнаружили кокаин. Независимо от конкретного вещества, данный объем считается значительным. Другие подробности дела не разглашаются.

На сайте РАЭК опубликовано заявление, в котором подчеркивается, что уголовное дело против Гребенникова не связано с его профессиональной деятельностью и работой ассоциации. Все текущие и запланированные проекты РАЭК будут реализованы в полном объеме.

Исполнение обязанностей главы организации возложено на Екатерину Демкину, назначенную исполнительным директором в декабре 2024 года.