Турецкий бекдор маскируется под системную службу Windows

Александр Панасенко 11 Июня 2014 - 12:13

Вредоносные программы

...

Среди предполагаемых создателей современных вредоносных программ нередко встречаются как жители стран бывшего СССР, так и носители китайского языка — определенные выводы об авторстве тех или иных угроз можно сделать на основе анализа их кода. На этом фоне весьма примечателен бэкдор BackDoor.Zetbo.1, обнаруженный специалистами компании «Доктор Веб» еще в конце мая 2014 года, — судя по обилию в его структуре соответствующих строк, разработчиками этого троянца, способного выполнять на инфицированном компьютере различные команды, являются вирусописатели из Турции.

Вредоносная программа BackDoor.Zetbo.1 устанавливается в систему под видом службы Windows Power Management (winpwrmng), имеющей следующее описание: Allows Users to Manage the Power Options. Бэкдор сохраняется на диск в виде исполняемого файла с именем taskmgr.exe, а все свои файлы он хранит в папке %APPDATA%\Roaming\. При установке в систему BackDoor.Zetbo.1 выводит сообщение на турецком языке: rundll bu dosyayı açamıyor. Dosya çok büyük, что в переводе означает: «rundll не может открыть этот файл. Файл слишком велик», сообщает news.drweb.com.

Запустившись на зараженном ПК, вредоносная служба следит за тем, работает ли в системе бэкдор, и, если нет, осуществляет его принудительный запуск. При попытке остановки службы троянец завершает работу Windows, демонстрируя на экране сообщение: Windows had to be closed. Windows Power Services is turned off.

Основное предназначение этой вредоносной программы вполне обычно для бэкдоров — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троянец способен передавать злоумышленникам различную информацию о зараженной машине (например, серийный номер жесткого диска).

Вместе с тем, весьма любопытен способ получения бэкдором параметров от управляющего сервера: соединившись с удаленным узлом, BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок. Проанализировав значения html-тэгов, отвечающих за отображение этих кнопок в браузере, троянец определяет необходимые для своей работы конфигурационные данные.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 21 Апреля 2026 - 12:29

Уязвимости программ Домашние пользователи

Количество уязвимостей в банковских приложениях за год выросло в 10 раз

По данным исследования AppSec Solutions, посвящённого анализу 90 приложений компаний финансового сектора — банков, микрофинансовых организаций и страховых компаний, — количество критических уязвимостей в них за год выросло в 10 раз. Об этом сообщили специалисты AppSec Solutions.

Всего в ходе анализа было выявлено 3 555 уязвимостей, из которых 2 006 отнесены к высоким или критическим. Для сравнения: в 2023 году исследователи обнаружили около 4 500 уязвимостей, однако критический статус тогда получили лишь 183 из них.

Как отметил руководитель отдела анализа защищённости мобильных приложений AppSec Solutions Никита Пинаев, одной из самых распространённых проблем остаётся наличие критически важной информации прямо в коде. Это создаёт условия для перехвата конфиденциальных данных, включая банковские реквизиты и личную информацию пользователей.

При этом мобильные приложения финансовых компаний, как подчёркивают исследователи, остаются абсолютными лидерами по числу опасных уязвимостей.

По данным исследования Роскачества и ГК «Солар», ошибки и уязвимости обнаруживаются в каждом втором мобильном приложении. В основном такие проблемы создают риск перехвата пользовательских данных и реализации сценария «человек посередине». Наиболее проблемными тогда оказались приложения онлайн-аптек и сервисов доставки.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!