BackDoor.Bitsex открывает злоумышленникам доступ к инфицированному компьютеру

[AM_Bot 48]

4 октября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянской программы BackDoor.Bitsex, представляющей собой полноценный сервер для удаленного управления инфицированным компьютером.

Данная вредоносная программа написана на языке C и сохраняется на диск под видом стандартной динамической библиотеки с именем SetupEngine.dll. После запуска BackDoor.Bitsex помещает в одну из папок два файла: Audiozombi.exe и SetupEngine.dll, после чего запускает первый на выполнение. Он, в свою очередь, вызывает библиотеку SetupEngine.dll. Затем BackDoor.Bitsex расшифровывает имя управляющего сервера и устанавливает с ним соединение. Также троянец проверяет, не загружены ли в системе антивирусные программы (для чего получает список активных процессов), и отправляет соответствующий отчет на удаленный сервер злоумышленников.

После этого троянец запускает кейлоггер — программу, запоминающую все нажатия клавиш на клавиатуре зараженного компьютера. Результат сохраняется в файл info.dat в папке %SYSTEMROOT%SYSTEM32.

BackDoor.Bitsex позволяет выполнять на инфицированном компьютере следующие команды и реализовывать перечисленные ниже функции:

• удаленный просмотр файлов и дисков;
• отправка скриншотов;
• отправка на удаленный сервер фотографий, полученных с подключенной к компьютеру камеры (при ее наличии);
• отправка файла, содержащего записи о нажатых клавишах (info.dat);
• получение списка запущенных процессов;
• скачивание и запуск файлов;
• обновление;
• очистка системных событий;
• открытие заданной веб-страницы в браузере по умолчанию;
• поддержка соединения по протоколу remote desktop на определенном порту;
• создание http-прокси сервера на определенном порту;
• поиск процесса по имени;
• поиск заголовка окна;
• вывод на экран инфицированного компьютера заданных сообщений;
• назначение нового управляющего сервера;
• осуществление DDoS-атаки на заданный сервер;
• создание нового пользователя Windows;
• выполнение команд cmd.exe;
• изменение параметров автозагрузки;
• самоудаление.

Сигнатура этой вредоносной программы добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

Источник

[Danilka 678]

Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

5 баллов!

[Rustock.C 110]

5 баллов!

А там и до лечения недалеко

[Valery Ledovskoy 1082]

Ну, типа продукты Symantec и ЛК не предупреждают пользователя о том, что сканирование системы давно не проводилось?

[AlexxSun 150]

Господа бывшие докторвебовцы

Danilka - наверно тоже "бывший"?

А вообще-то так не хорошо делать, народные умельцы Radmin'a модернизировали, можно так даже сказать - с нуля его переписали, дополнили новым функционалом, сделали максимально незаметным и не мешающим для пользователя... Нет, чтобы это обсудить, так они тут к тексту рекламы в антивирусе прикопались

[Mr. Justice 771]

Оффтопик перемещен >>>

Обсуждение необходимости полного сканирования системы выделено в отдельную тему >>>