Перейти к содержанию
AM_Bot

BackDoor.Butirat ворует информацию с компьютеров и перехватывает трафик браузеров

Recommended Posts

AM_Bot

28 октября 2011 г.

Аналитики компании «Доктор Веб» — российского разработчика средств информационной безопасности — отмечают рост числа новых модификаций семейства троянских программ BackDoor.Butirat. Эти вредоносные программы способны загружать из Интернета и запускать различные файлы, передавать злоумышленникам информацию с инфицированного компьютера и перехватывать трафик установленных в системе браузеров.

Вредоносные программы семейства BackDoor.Butirat известны еще с 2010 года. На сегодняшний день в вирусных базах Dr.Web насчитывается более 30 различных версий этого троянца. Интересно, что данный бэкдор не теряет своей популярности у распространителей вирусов: он по-прежнему часто загружается с различных сайтов, распространяющих вредоносное ПО. Можно предположить, что широкое распространение этой вредоносной программы связано с относительной легкостью ее модификации. Кроме того, злоумышленники регулярно перепаковывают новые версии BackDoor.Butirat, что порой затрудняет их детектирование.

Ранние модификации BackDoor.Butirat распространялись в виде динамической библиотеки, написанной на языке С++. Троянец отправлял различные запросы в баннерообменные сети для активации того или иного баннера. К классу бэкдоров его отнесли прежде всего потому, что он позволял выполнять различные директивы, поступающие с удаленного командного центра, например, команду на обновление.

Более поздние реализации BackDoor.Butirat значительно расширили свои функциональные возможности. Например, BackDoor.Butirat.25, добавленный в вирусные базы в октябре 2011 года, обладает не только возможностью обработки удаленных команд, но и способностью модифицировать в своей копии дату PE-заголовка с целью изменения хеша файла. Эта версия BackDoor.Butirat также связана с рекламой: помимо иного функционала, она использует ресурсы систем контекстных объявлений (begun.ru и др.) для генерации нажатий на различные баннеры.

Отличительной особенностью троянцев семейства BackDoor.Butirat является то, что после своего запуска они создают в системной папке ApplicationData файл netprotocol.exe и регистрируют его в ветви реестра, отвечающей за автозапуск приложений. Основная опасность для пользователя, которую несут в себе троянцы семейства BackDoor.Butirat, заключается в том, что они способны загружать с удаленного узла и запускать на выполнение произвольные приложения, а также передавать злоумышленникам различные файлы с инфицированного компьютера. В частности, в последнее время BackDoor.Butirat.25 скачивает на инфицированный компьютер троянца Trojan.Hosts.5006, ворующего пароли систем онлайн-банкинга Сбербанка и Альфа-Банка.

Кроме того, отдельные модификации BackDoor.Butirat могут перехватывать входящий и исходящий трафик в различных браузерах (опасности подвержены, прежде всего, Internet Explorer, Firefox и Opera), благодаря чему злоумышленники могут отслеживать поисковые запросы пользователей к поисковым системам Yandex, Google, Yahoo, Nigma, Bing, Rambler, search.qip.ru, Rupoisk.ru и перенаправлять браузер на различные сайты, список которых передается троянцу с удаленного командного центра.

Антивирусная лаборатория компании «Доктор Веб» регулярно регистрирует появление новых модификаций BackDoor.Butirat, и все они оперативно добавляются в вирусные базы Dr.Web. Пользователи антивирусных продуктов, разработанных компанией «Доктор Веб» полностью защищены от данного типа угроз.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Отличительной особенностью троянцев семейства BackDoor.Butirat является то, что после своего запуска они создают в системной папке ApplicationData файл netprotocol.exe и регистрируют его в ветви реестра, отвечающей за автозапуск приложений

очень оригинальная и отличительная особенность. реально прорыв.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×