Турецкий бекдор маскируется под системную службу Windows

Александр Панасенко 11 Июня 2014 - 12:13

Вредоносные программы

...

Среди предполагаемых создателей современных вредоносных программ нередко встречаются как жители стран бывшего СССР, так и носители китайского языка — определенные выводы об авторстве тех или иных угроз можно сделать на основе анализа их кода. На этом фоне весьма примечателен бэкдор BackDoor.Zetbo.1, обнаруженный специалистами компании «Доктор Веб» еще в конце мая 2014 года, — судя по обилию в его структуре соответствующих строк, разработчиками этого троянца, способного выполнять на инфицированном компьютере различные команды, являются вирусописатели из Турции.

Вредоносная программа BackDoor.Zetbo.1 устанавливается в систему под видом службы Windows Power Management (winpwrmng), имеющей следующее описание: Allows Users to Manage the Power Options. Бэкдор сохраняется на диск в виде исполняемого файла с именем taskmgr.exe, а все свои файлы он хранит в папке %APPDATA%\Roaming\. При установке в систему BackDoor.Zetbo.1 выводит сообщение на турецком языке: rundll bu dosyayı açamıyor. Dosya çok büyük, что в переводе означает: «rundll не может открыть этот файл. Файл слишком велик», сообщает news.drweb.com.

Запустившись на зараженном ПК, вредоносная служба следит за тем, работает ли в системе бэкдор, и, если нет, осуществляет его принудительный запуск. При попытке остановки службы троянец завершает работу Windows, демонстрируя на экране сообщение: Windows had to be closed. Windows Power Services is turned off.

Основное предназначение этой вредоносной программы вполне обычно для бэкдоров — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троянец способен передавать злоумышленникам различную информацию о зараженной машине (например, серийный номер жесткого диска).

Вместе с тем, весьма любопытен способ получения бэкдором параметров от управляющего сервера: соединившись с удаленным узлом, BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок. Проанализировав значения html-тэгов, отвечающих за отображение этих кнопок в браузере, троянец определяет необходимые для своей работы конфигурационные данные.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Марта 2026 - 21:22

Домашние пользователи

В Краснодаре ребёнка отказались записывать к врачу без MAX

В Краснодаре местная жительница столкнулась с довольно странной ситуацией: в детской поликлинике ей фактически отказали в обычной записи ребёнка к врачу и заявили, что теперь сделать это можно только через мессенджер MAX. По словам женщины, ещё в феврале она пыталась записать сына к офтальмологу и хирургу через «Госуслуги» в детскую поликлинику № 27 на проспекте Знаменского, 3.

Но через сервис записаться не получилось — свободных талонов не было. Об этой истории 24 марта сообщил телеграм-канал Gmrlive.

Тогда её муж поехал в поликлинику лично, чтобы попробовать взять талон через терминал или оформить запись через регистратуру. Но там, как утверждается, в услуге отказали. Сотрудники медучреждения сослались на некое новое распоряжение, по которому записываться к врачам теперь якобы нужно только через MAX.

Такой ответ семью, мягко говоря, не устроил. Женщина направила обращение в Министерство здравоохранения Краснодарского края и попросила разъяснить, на каком основании ей отказали в записи и что делать пациентам, у которых мессенджер MAX вообще не установлен.

После этого ситуация довольно быстро начала меняться. Сначала из поликлиники ей позвонили и предложили записаться по телефону. Заодно пообещали починить терминал, через который должны выдаваться талоны.

А позже, 16 марта, пришёл и официальный ответ из краевого Минздрава. В письме сообщили, что с медицинским персоналом уже провели рабочее совещание по поводу исполнения их обязанностей. Кроме того, в ответе перечислили доступные способы записи к врачу — и мессенджера MAX среди них не оказалось.

Также женщине направили номер горячей линии и контакты главного врача, чтобы в случае повторения подобных ситуаций можно было обращаться напрямую.

В итоге история получилась довольно показательной. На словах пациентке сначала попытались представить MAX как едва ли не обязательный канал записи к врачу. Но после жалобы быстро выяснилось, что официально такого требования нет, а записаться к врачу по-прежнему можно и другими способами.

Напомним, мессенджер MAX с 18 марта 2026 года получил статус социальной сети. Это важно прежде всего для владельцев крупных каналов: теперь страницы и каналы с аудиторией более 10 тысяч пользователей смогут работать в рамках уже действующих правил Роскомнадзора для соцсетей и получать в MAX маркировку A+ после регистрации через госреестр.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!