Dr. Web: Новый бэкдор действует как кейлоггер

11.09.2013 | 11:13
Dr. Web: Новый бэкдор действует как кейлоггер
Антивирусная компания Dr. Web сообщила об обнаружении нового бэкдора, способного обойти механизм контроля учетных записей пользователей. Способ действия вируса, идентифицируемого как BackDoor.Saker.1, напоминает кейлоггер, поскольку ему удается перехватывать нажимаемые пользователем клавиши.

После загрузки на компьютер бэкдор запускает файл temp.exe, главной целью которого является обход системы контроля учетных записей пользователей (User Accounts Control, UAC). Файл, в свою очередь, встраивается в процесс explorer.exe посредством открытия вредоносной библиотеки, которая затем сохраняется в одной из системных папок.

После запуска утилиты Sysprep библиотека запускает вредоносное приложение ps.exe, которое программа Dr.Web распознает как Trojan.MulDrop4.61259. Он открывает и сохраняет еще одну библиотеку, которая проходит регистрацию в Windows как служба «Net Security Service» с описанием «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device».

«После успешного запуска BackDoor.Saker.1 собирает и передает злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска», - утверждают специалисты компании.

По завершению сбора информации в системной папке создается файл, предназначенный для записывания нажатия пользователем клавиш на клавиатуре.
бэкдор, кейлоггер, Dr. Web
По материалам securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (1)
  1. Добавлено Artorios 11.09.2013 | 21:26Ну и каким боком такой бэкдор новый???Одно и тоже,одно и тоже....
Оставьте комментарий:CaptchaОбновить проверочный код