Новый бэкдор угрожает пользователям Windows

Новый бэкдор угрожает пользователям Windows

Специалисты компании «Доктор Веб» исследовали новую вредоносную программу, способную выполнять поступающие от злоумышленников команды и передавать на удаленный сервер сделанные на инфицированном компьютере снимки экрана. Бэкдор обладает механизмами проверки наличия на атакуемом компьютере виртуальной среды и антивирусных программ.

Троянец, получивший наименование VBS.BackDoor.DuCk.1, написан на языке Visual Basic и распространяется в виде файла ярлыка с расширением .lnk, в содержимое которого записан запакованный VBS-сценарий. При открытии ярлыка VBS-скрипт извлекается и сохраняется в виде отдельного файла, после чего происходит его запуск.

Троянец VBS.BackDoor.DuCk.1 использует весьма примечательный способ определения адреса управляющего сервера. В начале VBS-сценария предусмотрено три ссылки: две — на страницы видеохостинга YouTube, а еще одна — на страницу облачного сервиса Dropbox.

Троянец отправляет на данные ресурсы GET-запрос и в поступившем ответе выполняет поиск с заданным вирусописателями регулярным выражением: our (.*)th psy anniversary. Полученное в результате поиска значение делится на 31 337 — итог этой математической операции представляет собой число, которое после перевода в шестнадцатеричную форму соответствует значению IP-адреса управляющего сервера. Для проверки его работоспособности троянец отправляет по указанному адресу специальный GET-запрос и проверяет в ответе наличие строки «ОКОКОК», сообщает drweb.ru.

VBS.BackDoor.DuCk.1 обладает специальным механизмом проверки наличия на атакуемом компьютере виртуальной среды, а также работающих процессов различных приложений для мониторинга операционной системы. Также в самом бэкдоре реализовано выявление на инфицированном компьютере нескольких антивирусных программ (в случае обнаружения таковых троянец не выполняет один из своих сценариев).

В директории текущего пользователя Windows VBS.BackDoor.DuCk.1 создает вложенную папку, которую использует в качестве рабочей. В целях маскировки троянец сохраняет в папке для размещения временных файлов документ vtoroy_doc.doc и демонстрирует его пользователю:

 

 

При этом можно предположить, что изначально злоумышленники планировали использовать в качестве «приманки» презентацию PowerPoint, поскольку в коде троянца реализован алгоритм завершения процесса данного приложения (если установлен соответствующий флаг), однако по каким-то причинам передумали.

Для создания снимков экрана бэкдор использует собственную библиотеку, при этом сами скриншоты сохраняются во временную папку в виде файлов с расширением .tmp. С помощью специального REG-файла троянец отключает расширения браузера Microsoft Internet Explorer, а если вредоносная программа запущена в операционной системе Windows Vista, то с помощью другого REG-файла VBS.BackDoor.DuCk.1 отключает в данном браузере режим protected. Помимо этого, VBS.BackDoor.DuCk.1 реализует собственный автоматический запуск путем размещения в папке автозагрузки соответствующего ярлыка:

 

 

Для получения команд от управляющего сервера троянец с интервалом в одну минуту направляет на него соответствующий запрос. Среди специальных команд VBS.BackDoor.DuCk.1 может выполнить скачивание на инфицированный компьютер другого вредоносного приложения, либо с помощью запроса загрузить снимки экрана на удаленный сервер. Все остальные команды VBS.BackDoor.DuCk.1 передает командному интерпретатору CMD или PowerShell. Также данный бэкдор способен выполнить на зараженной машине Python-сценарий, результаты работы которого в зашифрованном виде передаются на принадлежащий злоумышленникам сервер.

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru