- 2016 11/05
- Автор: Зінаїда Іванівна
- | Перегляди: 977
Фахівці компанії "Доктор Веб" виявили троянця-бекдор, призначеного для крадіжки документів і шпигунства.
Загрозливий користувачам Microsoft Windows троянець Virus.Apper.1 поширюється з допомогою дроппера, який являє собою документ Microsoft Excel, який містить спеціальний макрос. Цей макрос збирає по байтам і запускає саморозпаковується. Архів, у свою чергу, містить виконуваний файл, що має цифровий підпис компанії Symantec, і динамічну бібліотеку, в якій зосереджений основний функціонал бекдор. Троянець реєструє в автозавантаженні виконуваний файл, який після свого запуску завантажує в пам'ять атакованого комп'ютера шкідливу бібліотеку.
Основне призначення Virus.Apper.1 - крадіжка з інфікованого комп'ютера різних документів. Зареєструвавши власний додаток в автозавантаженні, троянець видаляє вихідний файл.
Після успішного запуску Virus.Apper.1 діє в якості кейлоггера: фіксує натискання клавіш і записує їх в спеціальний зашифрований файл. Ще одна функція троянця - моніторинг файлової системи. Якщо на диску є конфігураційний файл, що містить шляхи до тек, стан яких троянець має відстежувати, Worm.Apper.1 буде фіксувати всі зміни в цих папках і передавати цю інформацію на керуючий сервер.
Перед установкою зв'язку з командним сервером бекдор збирає дані про зараженому комп'ютері: його ім'я, версію операційної системи, відомості про процесор, оперативної пам'яті і дисках, після чого відсилає отримані відомості зловмисникам. Потім троянець здобуває більш детальну інформацію про дискових накопичувачах, яка також передається на керуючий сервер разом з файлом журналу кейлоггера. Слідом за цим Virus.Apper.1 переходить в режим очікування команд.
Для отримання директиви троянець відправляє на керуючий сервер спеціальний запит. Серед іншого бекдор може по команді відправити зловмисникам відомості про вміст заданої папки або зазначений кіберзлочинцями файл, видалити або перейменувати будь-який файловий об'єкт, створити на зараженому комп'ютері нову папку, а також зробити знімок і відправити його на належний кіберзлочинцям сервер.
