Бекдор за Windows пуска собствени FTP сървъри

BackDoor.Yebot може да прихваща и данните от клавиатурата

BackDoor.Yebot може да прихваща и данните от клавиатурата

Зловредна програма BackDoor.Yebot атакува персонални компютри под Windows и пуска собствени FTP и прокси сървъри, алармира антивирусната компания Dr.Web.

„Бекдорът” прониква в компютрите на жертвите с помощта на троянеца Siggen6.31836, който е способен да заобиколи системата за контрол на потребителските акаунти (UAC).

Троянецът вгражда собствен код в процесите svchost.exe, csrss.exe, lsass.exe и explorer.exe, след което отдалечен сървър зарежда и декодира BackDoor.Yebot. Последният може да изпълнява най-различни действия, вкл. пускане на FTP сървър и Socks5 прокси сървър.

В допълнение, BackDoor.Yebot е способен да модифицира протокола RDP за разрешаване на отдалечен достъп до инфектираната система. Програмата може също така да прихваща данните, въвеждани с клавиатурата.

Нещо повече, опасният бекдор може да интегрира в разглежданите от потребителя уеб страници външно съдържание, да модифицира кода на стартиран процес, да взаимодейства с плъгини, да прави екранни снимки и др.

Експертите от Dr.Web предполагат, че зловредната програма може да изпълняна функция на банков троянец. Обменът на данни с управляващия сървър на BackDoor.Yebot се извършва както по стандартния протокол HTTP, така и чрез собствен двоичен протокол.

Коментар