BackDoor.Bitsex открывает злоумышленникам доступ к инфицированному компьютеру - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

BackDoor.Bitsex открывает злоумышленникам доступ к инфицированному компьютеру

Recommended Posts

AM_Bot

4 октября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянской программы BackDoor.Bitsex, представляющей собой полноценный сервер для удаленного управления инфицированным компьютером.

Данная вредоносная программа написана на языке C и сохраняется на диск под видом стандартной динамической библиотеки с именем SetupEngine.dll. После запуска BackDoor.Bitsex помещает в одну из папок два файла: Audiozombi.exe и SetupEngine.dll, после чего запускает первый на выполнение. Он, в свою очередь, вызывает библиотеку SetupEngine.dll. Затем BackDoor.Bitsex расшифровывает имя управляющего сервера и устанавливает с ним соединение. Также троянец проверяет, не загружены ли в системе антивирусные программы (для чего получает список активных процессов), и отправляет соответствующий отчет на удаленный сервер злоумышленников.

bitsex1.png

После этого троянец запускает кейлоггер — программу, запоминающую все нажатия клавиш на клавиатуре зараженного компьютера. Результат сохраняется в файл info.dat в папке %SYSTEMROOT%SYSTEM32.

BackDoor.Bitsex позволяет выполнять на инфицированном компьютере следующие команды и реализовывать перечисленные ниже функции:

  • удаленный просмотр файлов и дисков;
  • отправка скриншотов;
  • отправка на удаленный сервер фотографий, полученных с подключенной к компьютеру камеры (при ее наличии);
  • отправка файла, содержащего записи о нажатых клавишах (info.dat);
  • получение списка запущенных процессов;
  • скачивание и запуск файлов;
  • обновление;
  • очистка системных событий;
  • открытие заданной веб-страницы в браузере по умолчанию;
  • поддержка соединения по протоколу remote desktop на определенном порту;
  • создание http-прокси сервера на определенном порту;
  • поиск процесса по имени;
  • поиск заголовка окна;
  • вывод на экран инфицированного компьютера заданных сообщений;
  • назначение нового управляющего сервера;
  • осуществление DDoS-атаки на заданный сервер;
  • создание нового пользователя Windows;
  • выполнение команд cmd.exe;
  • изменение параметров автозагрузки;
  • самоудаление.

Сигнатура этой вредоносной программы добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

:lol: 5 баллов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
:lol: 5 баллов!

А там и до лечения недалеко :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Ну, типа продукты Symantec и ЛК не предупреждают пользователя о том, что сканирование системы давно не проводилось? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Господа бывшие докторвебовцы

:lol:Danilka - наверно тоже "бывший"?

А вообще-то так не хорошо делать, народные умельцы Radmin'a модернизировали, можно так даже сказать - с нуля его переписали, дополнили новым функционалом, сделали максимально незаметным и не мешающим для пользователя... Нет, чтобы это обсудить, так они тут к тексту рекламы в антивирусе прикопались :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
×