Перейти к содержанию
AM_Bot

BackDoor.Bitsex открывает злоумышленникам доступ к инфицированному компьютеру

Recommended Posts

AM_Bot

4 октября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянской программы BackDoor.Bitsex, представляющей собой полноценный сервер для удаленного управления инфицированным компьютером.

Данная вредоносная программа написана на языке C и сохраняется на диск под видом стандартной динамической библиотеки с именем SetupEngine.dll. После запуска BackDoor.Bitsex помещает в одну из папок два файла: Audiozombi.exe и SetupEngine.dll, после чего запускает первый на выполнение. Он, в свою очередь, вызывает библиотеку SetupEngine.dll. Затем BackDoor.Bitsex расшифровывает имя управляющего сервера и устанавливает с ним соединение. Также троянец проверяет, не загружены ли в системе антивирусные программы (для чего получает список активных процессов), и отправляет соответствующий отчет на удаленный сервер злоумышленников.

bitsex1.png

После этого троянец запускает кейлоггер — программу, запоминающую все нажатия клавиш на клавиатуре зараженного компьютера. Результат сохраняется в файл info.dat в папке %SYSTEMROOT%SYSTEM32.

BackDoor.Bitsex позволяет выполнять на инфицированном компьютере следующие команды и реализовывать перечисленные ниже функции:

  • удаленный просмотр файлов и дисков;
  • отправка скриншотов;
  • отправка на удаленный сервер фотографий, полученных с подключенной к компьютеру камеры (при ее наличии);
  • отправка файла, содержащего записи о нажатых клавишах (info.dat);
  • получение списка запущенных процессов;
  • скачивание и запуск файлов;
  • обновление;
  • очистка системных событий;
  • открытие заданной веб-страницы в браузере по умолчанию;
  • поддержка соединения по протоколу remote desktop на определенном порту;
  • создание http-прокси сервера на определенном порту;
  • поиск процесса по имени;
  • поиск заголовка окна;
  • вывод на экран инфицированного компьютера заданных сообщений;
  • назначение нового управляющего сервера;
  • осуществление DDoS-атаки на заданный сервер;
  • создание нового пользователя Windows;
  • выполнение команд cmd.exe;
  • изменение параметров автозагрузки;
  • самоудаление.

Сигнатура этой вредоносной программы добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

:lol: 5 баллов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
:lol: 5 баллов!

А там и до лечения недалеко :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Ну, типа продукты Symantec и ЛК не предупреждают пользователя о том, что сканирование системы давно не проводилось? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Господа бывшие докторвебовцы

:lol:Danilka - наверно тоже "бывший"?

А вообще-то так не хорошо делать, народные умельцы Radmin'a модернизировали, можно так даже сказать - с нуля его переписали, дополнили новым функционалом, сделали максимально незаметным и не мешающим для пользователя... Нет, чтобы это обсудить, так они тут к тексту рекламы в антивирусе прикопались :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×