BackDoor.Bitsex открывает злоумышленникам доступ к инфицированному компьютеру - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

BackDoor.Bitsex открывает злоумышленникам доступ к инфицированному компьютеру

Recommended Posts

AM_Bot

4 октября 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о распространении троянской программы BackDoor.Bitsex, представляющей собой полноценный сервер для удаленного управления инфицированным компьютером.

Данная вредоносная программа написана на языке C и сохраняется на диск под видом стандартной динамической библиотеки с именем SetupEngine.dll. После запуска BackDoor.Bitsex помещает в одну из папок два файла: Audiozombi.exe и SetupEngine.dll, после чего запускает первый на выполнение. Он, в свою очередь, вызывает библиотеку SetupEngine.dll. Затем BackDoor.Bitsex расшифровывает имя управляющего сервера и устанавливает с ним соединение. Также троянец проверяет, не загружены ли в системе антивирусные программы (для чего получает список активных процессов), и отправляет соответствующий отчет на удаленный сервер злоумышленников.

bitsex1.png

После этого троянец запускает кейлоггер — программу, запоминающую все нажатия клавиш на клавиатуре зараженного компьютера. Результат сохраняется в файл info.dat в папке %SYSTEMROOT%SYSTEM32.

BackDoor.Bitsex позволяет выполнять на инфицированном компьютере следующие команды и реализовывать перечисленные ниже функции:

  • удаленный просмотр файлов и дисков;
  • отправка скриншотов;
  • отправка на удаленный сервер фотографий, полученных с подключенной к компьютеру камеры (при ее наличии);
  • отправка файла, содержащего записи о нажатых клавишах (info.dat);
  • получение списка запущенных процессов;
  • скачивание и запуск файлов;
  • обновление;
  • очистка системных событий;
  • открытие заданной веб-страницы в браузере по умолчанию;
  • поддержка соединения по протоколу remote desktop на определенном порту;
  • создание http-прокси сервера на определенном порту;
  • поиск процесса по имени;
  • поиск заголовка окна;
  • вывод на экран инфицированного компьютера заданных сообщений;
  • назначение нового управляющего сервера;
  • осуществление DDoS-атаки на заданный сервер;
  • создание нового пользователя Windows;
  • выполнение команд cmd.exe;
  • изменение параметров автозагрузки;
  • самоудаление.

Сигнатура этой вредоносной программы добавлена в вирусные базы Dr.Web. Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость выполнения регулярной проверки дисков компьютера установленным антивирусом на наличие новых угроз.

:lol: 5 баллов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
:lol: 5 баллов!

А там и до лечения недалеко :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Ну, типа продукты Symantec и ЛК не предупреждают пользователя о том, что сканирование системы давно не проводилось? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Господа бывшие докторвебовцы

:lol:Danilka - наверно тоже "бывший"?

А вообще-то так не хорошо делать, народные умельцы Radmin'a модернизировали, можно так даже сказать - с нуля его переписали, дополнили новым функционалом, сделали максимально незаметным и не мешающим для пользователя... Нет, чтобы это обсудить, так они тут к тексту рекламы в антивирусе прикопались :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×