BackDoor.Pads открывает злоумышленникам доступ к инфицированным компьютерам - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

BackDoor.Pads открывает злоумышленникам доступ к инфицированным компьютерам

Recommended Posts

AM_Bot

6 декабря 2011 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении нового бэкдора, получившего название BackDoor.Pads. Эта вредоносная программа собирает информацию об инфицированном компьютере и передает ее злоумышленникам, кроме того, она способна выполнять команды, поступающие с удаленного сервера.

Вредоносная программа BackDoor.Pads создана вирусописателями на языке ассемблер и представляет собой модуль, реализованный в виде нескольких компонентов. После запуска бэкдора происходит расшифровка кода, которому передается управление, после чего вредоносный модуль выполняет поиск необходимых для его работы функций API в системных библиотеках Windows.

shell_450.png

Функционал BackDoor.Pads вполне стандартен для бэкдоров подобного типа: он собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Затем BackDoor.Pads пытается определить наличие в конфигурации сети прокси-сервера, для чего бэкдор считывает из реестра настройки подключения браузера Internet Explorer. Кроме того, BackDoor.Pads ищет в системе запущенные процессы веб-браузеров Internet Explorer, Firefox, Opera, Chrome, ряда почтовых клиентов, а также иных приложений, и если находит их, расшифровывает в памяти и запускает на исполнение соответствующий базонезависимый код. Если троянцу удается получить токен explorer.exe (права на доступ), он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем. Этот модуль внесен в вирусные базы Dr.Web под именем Trojan.PWS.Pads.

Собранные сведения об инфицированном компьютере BackDoor.Pads отправляет на удаленный сервер злоумышленников, а оттуда получает управляющие команды. В бэкдоре реализован функционал, подобный возможностям небольшого telnet-сервера, однако все исполняемые вредоносной программой команды «зашиты» в ней самой, благодаря чему бэкдор не использует внешний командный интерпретатор, такой как, например, cmd.exe. Среди принимаемых бэкдором команд можно назвать команду поиска файлов, создания/удаления папок, копирования, перемещения и удаления файлов, перезагрузки Windows, получения списка запущенных процессов, загрузки файлов и их запуска от имени определенного пользователя. Кроме того, BackDoor.Pads может выполнять функции прокси-сервера.

Опасность данной вредоносной программы для пользователя кроется, прежде всего, в том, что она способна выполнять на инфицированном компьютере различные команды, предоставляя злоумышленникам доступ к ресурсам зараженной машины. Сигнатура BackDoor.Pads уже добавлена в вирусные базы Dr.Web, пользователи антивирусных продуктов Dr.Web полностью защищены от данной угрозы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Знаете, делать из каждого нового написанного описания на каждый гавнобэкдор - НОВОСТЬ - до такого уровня даже панда не опускалась.

P.S. Впрочем, если вы желаете и дальше засирать медиапространство, то мы можем accept challenge - благо у нас робот автоописаний таких текстов по нескольку десятков в день генерит. Бесплатно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×