Турецкий бекдор маскируется под системную службу Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Турецкий бекдор маскируется под системную службу Windows

Александр Панасенко 11 Июня 2014 - 12:13
...

Среди предполагаемых создателей современных вредоносных программ нередко встречаются как жители стран бывшего СССР, так и носители китайского языка — определенные выводы об авторстве тех или иных угроз можно сделать на основе анализа их кода. На этом фоне весьма примечателен бэкдор BackDoor.Zetbo.1, обнаруженный специалистами компании «Доктор Веб» еще в конце мая 2014 года, — судя по обилию в его структуре соответствующих строк, разработчиками этого троянца, способного выполнять на инфицированном компьютере различные команды, являются вирусописатели из Турции.

Вредоносная программа BackDoor.Zetbo.1 устанавливается в систему под видом службы Windows Power Management (winpwrmng), имеющей следующее описание: Allows Users to Manage the Power Options. Бэкдор сохраняется на диск в виде исполняемого файла с именем taskmgr.exe, а все свои файлы он хранит в папке %APPDATA%\Roaming\. При установке в систему BackDoor.Zetbo.1 выводит сообщение на турецком языке: rundll bu dosyayı açamıyor. Dosya çok büyük, что в переводе означает: «rundll не может открыть этот файл. Файл слишком велик», сообщает news.drweb.com.

Запустившись на зараженном ПК, вредоносная служба следит за тем, работает ли в системе бэкдор, и, если нет, осуществляет его принудительный запуск. При попытке остановки службы троянец завершает работу Windows, демонстрируя на экране сообщение: Windows had to be closed. Windows Power Services is turned off.

Основное предназначение этой вредоносной программы вполне обычно для бэкдоров — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троянец способен передавать злоумышленникам различную информацию о зараженной машине (например, серийный номер жесткого диска).

Вместе с тем, весьма любопытен способ получения бэкдором параметров от управляющего сервера: соединившись с удаленным узлом, BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок. Проанализировав значения html-тэгов, отвечающих за отображение этих кнопок в браузере, троянец определяет необходимые для своей работы конфигурационные данные.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ГД предложили отключить международные звонки со стационарных телефонов
Екатерина Быстрова 24 Октября 2025 - 09:10
Соответствие законодательству РФ Домашние пользователиГосударство Защита от мошенничества
В ГД предложили отключить международные звонки со стационарных телефонов

Председатель комитета Госдумы по информационной политике Сергей Боярский предложил рассмотреть возможность отключения международной связи на стационарных телефонах. Инициатива направлена на борьбу с телефонным мошенничеством. Об этом депутат заявил 23 октября на заседании Совета по развитию цифровой экономики и Совета по развитию финансового рынка при Совете Федерации.

По словам Боярского, которые передают «Известия», мошенники всё чаще используют городские телефоны для обмана граждан, особенно пожилых людей.

Ранее преступники звонили через мессенджеры вроде WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещённой в России) и Telegram, но теперь активно переходят на стационарную связь.

«Самые уязвимые люди — это пенсионеры. Им звонят домой, представляются сотрудниками банков или госструктур, а затем продолжают разговор уже по мобильному. Поэтому нужно отключать международные звонки, оставив при этом возможность включить их по заявлению тех, кому они действительно необходимы», — отметил депутат.

Боярский также обратил внимание на проблему виртуальных телефонных станций (АТС), которые позволяют злоумышленникам арендовать городские номера и выдавать себя за официальные организации. По его словам, деятельность таких сервисов тоже стоит регулировать.

Ранее в МВД сообщали, что мошенники всё чаще стремятся завладеть корпоративными номерами компаний, чтобы получить контроль над внутренней связью. Ключевым элементом таких схем становится «мастер-сим» — основная сим-карта, через которую проходят все звонки и сообщения сотрудников.

По мнению экспертов, предложение о блокировке международных звонков может стать одной из мер, направленных на сокращение числа телефонных афер, однако потребует проработки механизмов для тех, кому международная связь действительно необходима — например, бизнесу и родственникам россиян за рубежом.

Как мы сообщали в июне, мошенники снова начали активно звонить на стационарные телефоны. Чаще всего они используют сценарий с якобы необходимостью продлить договор с оператором связи. Эксперты предупреждают: подобных случаев станет больше, а сами схемы — разнообразнее.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В 2025 году 50% фишинга и 32% скама пришлись на ретейл-сектор
Новость
В 2025 году 50% фишинга и 32% скама пришлись на ретейл-секто...
UserGate выпустила NGFW для дата-центров с поддержкой 130 тыс. правил
Новость
UserGate выпустила NGFW для дата-центров с поддержкой 130 ты...
Pixnapping: скрытая атака на Android, которая читает пиксели экрана
Новость
Pixnapping: скрытая атака на Android, которая читает пиксели...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.