«Доктор Веб» исследовал бэкдор для Windows, написанный на Python





Аналитики компании «Доктор Веб» исследовали новый бэкдор, особенность которого заключается в том, что он написан на языке Python.

Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33. Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.

Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.

После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.

Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io.

Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам:

- красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark;
- фиксировать нажатия клавиш и делать снимки экрана;
- загружать дополнительные модули на Python и исполнять их;
- скачивать файлы и сохранять их на носителе инфицированного устройства;
- получать содержимое заданной папки;
- перемещаться по папкам;
- запрашивать информацию о системе.

Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
12.07.2020 16:31

Заклеиваете камеру, чтобы защититься от хакеров? Apple советует этого не делать

Роскачество и Минкомсвязи призывают пользователей заклеивать камеры и микрофоны на ноутбуках, чтобы защититься от хакеров, однако компания Apple рекомендует этого не делать

11.07.2020 15:30

Трамп признал, что одобрил кибератаку против российской «фабрики троллей»

Президент США Дональд Трамп подтвердил, что он санкционировал кибератаку против российского «Агентства интернет-исследований», которое различных в СМИ часто называют «фабрикой троллей»

08.07.2020 17:16

Грефу назвали причины неизбежного введения цифрового ID

Бывший премьер-министр Великобритании Тони Блэр рассказал главе Сбербанка Герману Грефу, почему пандемия ускорит внедрение цифрового ID в различных странах

08.07.2020 14:57

Эксперты рассказали, какие пароли проще всего взломать

Эксперты по информационной безопасности рассказали, какие пароли не стоит использовать, поскольку их могут легко взломать с использованием методов социальной инженерии

08.07.2020 14:10

Власти Москвы прокомментировали сообщения о продаже доступа к городским видеокамерам

В Даркнете продают доступ ко всем видеокамерам сети наблюдения Москвы, которые установлены в подъездах столичных домов, парках, поликлиниках и школах

Популярное: Безопасность
12.07.2020 16:31

Заклеиваете камеру, чтобы защититься от хакеров? Apple советует этого не делать

Роскачество и Минкомсвязи призывают пользователей заклеивать камеры и микрофоны на ноутбуках, чтобы защититься от хакеров, однако компания Apple рекомендует этого не делать

07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть

29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить

11.07.2020 15:30

Трамп признал, что одобрил кибератаку против российской «фабрики троллей»

Президент США Дональд Трамп подтвердил, что он санкционировал кибератаку против российского «Агентства интернет-исследований», которое различных в СМИ часто называют «фабрикой троллей»

08.07.2020 17:16

Грефу назвали причины неизбежного введения цифрового ID

Бывший премьер-министр Великобритании Тони Блэр рассказал главе Сбербанка Герману Грефу, почему пандемия ускорит внедрение цифрового ID в различных странах

utrennik
utrennik, 18.10.2017 17:40
Вирусописатели совсем обленились. На высокоуровневые языки переходят.
» Прочитать остальные / Написать свой комментарий

Новости /
Безопасность /
«Доктор Веб» исследовал бэкдор для Windows, написанный на Python
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика