Показать меню
Регистрация Обратная связь

Еще один вирус-русофоб, на этот раз для ПК, обнаружен лабораторией Dr.Web

23.02.2016

На прошлой неделе мы уже писали о вирусе Mazar Android BOT, который поражает устройства с нерусской прошивкой. А вот на днях еще один вирус-русофоб добрался и до персональных компьютеров, работающих на операционной системе Windows.

Еще один вирус-русофоб, на этот раз для ПК, обнаружен лабораторией Dr.WebЕще один вирус-русофоб, на этот раз для ПК, обнаружен лабораторией Dr.Web

Соответствующее сообщение появилось на сайте лаборатории Dr.Web.

Эта вредоносная программа, получившая наименование BackDoor.Andromeda.1407, распространяется с помощью другого троянца-загрузчика—Trojan.Sathurbot.1, также известного под именем «Hydra». Основное предназначение BackDoor.Andromeda.1407 заключается в выполнении поступающих от злоумышленников команд, в том числе скачивания и установки иного вредоносного ПО.

При этом взаимодействие с управляющим сервером бекдор осуществляет с помощью специального зашифрованного ключа, адреса командных узлов также хранятся в теле вредоноса в зашифрованном виде. Передача информации реализована с использованием формата обмена данными JSON (javascript Object Notation) с применением метода криптографии.

При запуске бэкдор проверяет командную строку на наличие ключа "/test" и в случае его обнаружения выводит в консоль сообщение "\n Test - OK", а затем завершается.

Если на зараженном компьютере установлена операционная система Microsoft Windows 8 или выше, троянец продолжает работу с текущими привилегиями пользователя, в Windows 7 он пытается повысить собственные права с использованием одного из широко известных способов. Кроме того, в ОС Windows 7 BackDoor.Andromeda.1407 отключает механизм контроля учетных записей пользователей (User Accounts Control, UAC).

В конце установки троянец отключает отображение скрытых файлов в Проводнике, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется дроппер троянца со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя, и меняется время его создания. Наконец, BackDoor.Andromeda.1407 модифицирует ветви системного реестра Windows, обеспечивая автоматический запуск основного модуля вредоносной программы.

Что интересно, если бэкдору удается обнаружить наличие в Windows русской, украинской, белорусской или казахской национальной раскладки, он завершается и автоматически удаляется из системы.

В настоящий момент вирусным аналитикам компании «Доктор Веб» известно о том, что BackDoor.Andromeda.1407 загружает и запускает на инфицированных компьютерах такие вредоносные приложения как троянец-шифровальщик Trojan.Encoder.3905, банковский троянец Trojan.PWS.Panda.2401, троянцы Trojan.Click3.15886,BackDoor.Siggen.60436, Trojan.DownLoader19.26835 и многие другие. 

+5
1
Похожие новости
Компьютеры Mac славятся своей защищенностью от вирусов и другого вредоносного программного кода. Это утверждение близко к правде, поэтому большинство пользователей OS X не пользуются антивирусными
Сотрудниками «Лаборатории Касперского» обнаружен Android - вирус Triada, который внедряется в операционную систему и изменяет основные системные элементы и установленные
В сети появился новый вирус, заражению которым подвергаются устройства на базе Android. Об этом сообщило издание iguides.ru со ссылкой на компанию Heimdal Security. Зовут вредителя Mazar Android BOT,
Комментарии
Добавить комментарий
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.