Доктор Веб исследовал бэкдор, написанный на Python
Главная » Новости

Доктор Веб исследовал бэкдор, написанный на Python

Александр Панасенко 16 Октября 2017 - 20:00
...
Доктор Веб исследовал бэкдор, написанный на Python

Аналитики «Доктор Веб» исследовали новый бэкдор, особенность которого заключается в том, что он написан на языке Python. Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33.

Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc, пишет news.drweb.ru.

Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.

После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.

Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:

 

 

Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам:

  • красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark;
  • фиксировать нажатия клавиш и делать снимки экрана;
  • загружать дополнительные модули на Python и исполнять их;
  • скачивать файлы и сохранять их на носителе инфицированного устройства;
  • получать содержимое заданной папки;
  • перемещаться по папкам;
  • запрашивать информацию о системе.

Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Выход коммерческой версии PT Dephaze запланировали на март 2025-го
Екатерина Быстрова 28 Февраля 2025 - 16:40
Корпорации Системы для анализа защищенности информационных системСредства тестирования на проникновениеАудит информационной безопасности Positive Technologies
Выход коммерческой версии PT Dephaze запланировали на март 2025-го

Positive Technologies анонсировала выход коммерческой версии PT Dephaze. Система позволяет компаниям регулярно проверять защищенность инфраструктуры и выявлять уязвимости до их эксплуатации злоумышленниками.

Опрос Positive Technologies показал, что лишь 21% компаний используют услуги по тестированию на проникновение, и только 64% из них делают это регулярно.

Основные причины отказа — нехватка бюджета (25%), опасения за бизнес-процессы (21%) и отсутствие ресурсов для анализа данных (19%).

PT Dephaze автоматизирует этот процесс, предоставляя организациям возможность контролируемого тестирования без привлечения внешних команд. Система анализирует внутреннюю инфраструктуру с учетом актуальных векторов атак и методов злоумышленников.

Пользователю достаточно установить ПО, выбрать цель проверки (информационную систему, приложение, устройство или сегмент сети) и получить отчет с результатами и рекомендациями.

Продукт использует машинное обучение для обработки данных и повышения точности анализа. Обнаруженные уязвимости приоритизируются по уровню опасности, а повторные проверки позволяют оценить эффективность исправлений.

По словам Ярослава Бабина, директора по продуктам для симуляции атак в Positive Technologies, тестирование на проникновение необходимо проводить регулярно, так как методы атак постоянно эволюционируют. В 60% компаний недостаточно защищена как внешняя, так и внутренняя инфраструктура, что делает их уязвимыми даже перед малоопытными хакерами.

Запуск PT Dephaze намечен на март 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В СёрчИнформ SIEM добавили коннектор к NGFW Континент 4
Новость
В СёрчИнформ SIEM добавили коннектор к NGFW Континент 4
RED Security прогнозирует на февраль новую волну кибератак
Новость
RED Security прогнозирует на февраль новую волну кибератак
Мошенники создают клоны карт через мобильные приложения, предупреждает ЦБ
Новость
Мошенники создают клоны карт через мобильные приложения, пре...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.