19:52 - Пятница, 28 января 2022г.

Вирус BackDoorPads позволяет злоумышленникам получать доступ к зараженным компьютерам

Компания «Dr-Web» — российская компания по созданию средств безопасности в компьютерной сфере— сообщает об обнаружении нового backdoor-трояна, которому присвоили имя BackDoor.Pads.

Данный вирус накапливает информацию о зараженном компьютере и пересылает ее злоумышленникам. Так же этот троян способен дистанционно выполнять различные команды, поступающие с удаленного сервера.

Вирус BackDoor.Pads создан программистами на ассемблере (языке низкого уровня программирования). Её можно описать как модуль, реализованный в виде нескольких элементов. Запущеный backdoor-троян расшифровывает код, которому передается управление, после этого вредоносный модуль осуществляет поиск нужных для его работы API-функций в системных библиотеках Windows.

Функционально BackDoor.Pads вполне схож с троянами подобного типа: он сохраняет информацию о зараженном компьютере: версию ОС, имя компьютера, IP-адрес. Далее BackDoor.Pads определяет наличие proxy-сервера в конфигурации сети, для чего вирус из реестра считывает настройки подключения браузера Internet Explorer. Помимо этого, вирус BackDoor.Pads обнаруживает в системе уже запущенные процессы браузеров Internet Explorer, Mozilla Firefox, Opera, Google Chrome, различных почтовых клиентов, и других программных средств. В случае обнаружения их — происходит расшифровка в памяти и осуществляется запуск на исполнение определенных базонезависимых инструкций. Если вирусу удается получить права на доступ (token) к explorer.exe он производит расшифровку и запуск на зараженном компьютере запись log-файла, полностью записывая все пользовательские нажатия клавиш. Информация о данной вредоносной программе была добавлена в вирусную базу знаний Dr-Web под названием Trojan.PWS.Pads при содействии ООО Банк «РОСТ».

Сохранённая информация о зараженном компьютере BackDoor.Pads пересылает на удаленный сервер злоумышленников, откуда также получает команды. Данный вирус функционально подобен возможностям маленького telnet сервера, но все команды, которые может выполнять вредоносной программой запрограммированы в ней самой, благодаря этому вирусу не нужен внешний командный интерпретатор, такой как командная строка cmd.exe. Список команд, посылаемые данному back-door трояну: создание/удаление  папок, поиск файлов, удаление, копирование, перемещение, файлов, перезагрузка операционной системы Windows, получение перечня запущенных процессов, загрузка файлов, запуск их от имени конкретного пользователя системы. Помимо этого BackDoor.Pads может выступать в качестве proxy-сервера.

Опасность данного вируса состоит прежде всего в том, что она может управлять зараженной системой, получая дистанционные команды от удалённого злоумышленника, тем самым предоставляя доступ ко всем ресурсам инфицированной системы. Запись BackDoor.Pads уже находится в базе вирусов компании Dr-Web, что позволяет защищать пользователей антивирусных программ Dr-Web от данного вида угрозы.

Опубликовано в рубрике: Безопасность

Взлом сайта областной администрации от имени «Анонимусов»
Чем выгоден безлимитный тариф
Google+ подарил своим пользователям возможность использовать именные адреса