Перейти к содержанию
AM_Bot

BackDoor.Pads открывает злоумышленникам доступ к инфицированным компьютерам

Recommended Posts

AM_Bot

6 декабря 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении нового бэкдора, получившего название BackDoor.Pads. Эта вредоносная программа собирает информацию об инфицированном компьютере и передает ее злоумышленникам, кроме того, она способна выполнять команды, поступающие с удаленного сервера.

Вредоносная программа BackDoor.Pads создана вирусописателями на языке ассемблер и представляет собой модуль, реализованный в виде нескольких компонентов. После запуска бэкдора происходит расшифровка кода, которому передается управление, после чего вредоносный модуль выполняет поиск необходимых для его работы функций API в системных библиотеках Windows.

shell_450.png

Функционал BackDoor.Pads вполне стандартен для бэкдоров подобного типа: он собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Затем BackDoor.Pads пытается определить наличие в конфигурации сети прокси-сервера, для чего бэкдор считывает из реестра настройки подключения браузера Internet Explorer. Кроме того, BackDoor.Pads ищет в системе запущенные процессы веб-браузеров Internet Explorer, Firefox, Opera, Chrome, ряда почтовых клиентов, а также иных приложений, и если находит их, расшифровывает в памяти и запускает на исполнение соответствующий базонезависимый код. Если троянцу удается получить токен explorer.exe (права на доступ), он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем. Этот модуль внесен в вирусные базы Dr.Web под именем Trojan.PWS.Pads.

Собранные сведения об инфицированном компьютере BackDoor.Pads отправляет на удаленный сервер злоумышленников, а оттуда получает управляющие команды. В бэкдоре реализован функционал, подобный возможностям небольшого telnet-сервера, однако все исполняемые вредоносной программой команды «зашиты» в ней самой, благодаря чему бэкдор не использует внешний командный интерпретатор, такой как, например, cmd.exe. Среди принимаемых бэкдором команд можно назвать команду поиска файлов, создания/удаления папок, копирования, перемещения и удаления файлов, перезагрузки Windows, получения списка запущенных процессов, загрузки файлов и их запуска от имени определенного пользователя. Кроме того, BackDoor.Pads может выполнять функции прокси-сервера.

Опасность данной вредоносной программы для пользователя кроется, прежде всего, в том, что она способна выполнять на инфицированном компьютере различные команды, предоставляя злоумышленникам доступ к ресурсам зараженной машины. Сигнатура BackDoor.Pads уже добавлена в вирусные базы Dr.Web, пользователи антивирусных продуктов Dr.Web полностью защищены от данной угрозы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Знаете, делать из каждого нового написанного описания на каждый гавнобэкдор - НОВОСТЬ - до такого уровня даже панда не опускалась.

P.S. Впрочем, если вы желаете и дальше засирать медиапространство, то мы можем accept challenge - благо у нас робот автоописаний таких текстов по нескольку десятков в день генерит. Бесплатно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×