Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о появлении нового бэкдора, получившего название BackDoor.Pads. Эта вредоносная программа собирает информацию об инфицированном компьютере и передает ее злоумышленникам, кроме того, она способна выполнять команды, поступающие с удаленного сервера.
Вредоносная программа BackDoor.Pads создана вирусописателями на языке ассемблер и представляет собой модуль, реализованный в виде нескольких компонентов. После запуска бэкдора происходит расшифровка кода, которому передается управление, после чего вредоносный модуль выполняет поиск необходимых для его работы функций API в системных библиотеках Windows.
Функционал BackDoor.Pads вполне стандартен для бэкдоров подобного типа: он собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Затем BackDoor.Pads пытается определить наличие в конфигурации сети прокси-сервера, для чего бэкдор считывает из реестра настройки подключения браузера Internet Explorer. Кроме того, BackDoor.Pads ищет в системе запущенные процессы веб-браузеров Internet Explorer, Firefox, Opera, Chrome, ряда почтовых клиентов, а также иных приложений, и если находит их, расшифровывает в памяти и запускает на исполнение соответствующий базонезависимый код. Если троянцу удается получить токен explorer.exe (права на доступ), он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем. Этот модуль внесен в вирусные базы Dr.Web под именем Trojan.PWS.Pads.
Собранные сведения об инфицированном компьютере BackDoor.Pads отправляет на удаленный сервер злоумышленников, а оттуда получает управляющие команды. В бэкдоре реализован функционал, подобный возможностям небольшого telnet-сервера, однако все исполняемые вредоносной программой команды «зашиты» в ней самой, благодаря чему бэкдор не использует внешний командный интерпретатор, такой как, например, cmd.exe. Среди принимаемых бэкдором команд можно назвать команду поиска файлов, создания/удаления папок, копирования, перемещения и удаления файлов, перезагрузки Windows, получения списка запущенных процессов, загрузки файлов и их запуска от имени определенного пользователя. Кроме того, BackDoor.Pads может выполнять функции прокси-сервера.
Опасность данной вредоносной программы для пользователя кроется, прежде всего, в том, что она способна выполнять на инфицированном компьютере различные команды, предоставляя злоумышленникам доступ к ресурсам зараженной машины. Сигнатура BackDoor.Pads уже добавлена в вирусные базы Dr.Web, пользователи антивирусных продуктов Dr.Web полностью защищены от данной угрозы.
_________________________BackDoor.Pads
Бэкдор, написан на языке ассемблер, представляет собой модуль, реализованный в виде нескольких компонент.Имеет единственную экспортируемую функцию install, в которой третьим параметром должен передаваться путь к sr.dat. После вызова install происходит расшифровка шелл-кода и передача управления на него.
Далее происходит поиск необходимых API из библиотек: kernel32.dll, advapi32.dll, ntdll.dll, psapi.dll, shell32.dll, Shlwapi.dll, userenv.dll, user32.dll, ws32_2.dll.
Читает конфигурационный файл, который хранится в зашифрованном виде в %PROGRAM%\Internet Explorer\Connection Wizard\Pa.ds.
Определяет, имеется ли прокси путем проверки настроек iexplorer.exe, собирает информацию о компьютере (версию OS, имя компьютера, локальный IP). Ищет процесс explore.exe получает его токен, имперсанируется ImpersonateLoggedOnUser, и вызывает следующие функции: GetUserNameA и LoadUserProfileA.
Перечисляет все запущенные сервисы и устанавливает им следующие флаги:
SERVICE_INTERACTIVE_PROCESS+SERVICE_WIN32_OWN_PROCESSи если такие имеются, читает файлы:
%s\Internet Explorer\kl.dat
%s\Internet Explorer\um.dat
Расшифровывает в памяти и запускает их шелл-коды.
Принимает команды с управляющего сервера, в бэкдоре реализовано подобие telnet-сервера.
Комментариев нет:
Отправить комментарий