Бэкдорами принято называть вредоносные программы, способные выполнять поступающие от злоумышленников команды и предоставлять им возможность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» исследовали новый бэкдор, особенность которого заключается в том, что он написан на языке Python.
Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33. Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.
Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.
После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.
Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:
Если вам интересно узнать что происходит если бэкдору удалось получить IP-адрес и порт, а также ознакомиться с зловредными функциями бэкдора, вы можете в полной статье на нашем официальном сайте.
Напоминаем также о нашем проекте «Антивирусная правДА!»
Проект «Антивирусная правДА!»
На страницах проекта вы найдете советы и краткую информацию о самых актуальных вопросах информационной безопасности.
Проект «Антивирусная правДА!» будет содержать ряд рубрик, на данный момент опубликованы статьи следующих рубрик:
| Рубрики | Темы постов: |
|---|---|
| [«Антивирусная правДА!»] Правила гигиены | Включите это немедленно! |
 | Рыба гниет с головы, а смартфон с корня |
| Держите антивирусную аптечку под рукой | |
| Dr.Web беспокоит по делу: для Windows | |
| Dr.Web беспокоит по делу: для Android | |
| Пароль – больше, чем «слово»! | |
| Расширения-невидимки | |
| [«Антивирусная правДА!»] Наследники О. Бендера | В ожидании чуда |
 | Хьюстон, у вас проблемы! |
| Защитники-шарлатаны | |
| [«Антивирусная правДА!»] Незваные гости | И на старуху бывает проруха |
 | А мы поиграем в паровозик! |
| «Официальные» троянцы | |
| [«Антивирусная правДА!»] На удочке | Фишинг на админов |
 | Фишеры против «фишеров» |
| Вредоносные подробности во вложении |
Если вам интересно - подписывайтесь!
Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
mir, genyakuc, francesco, vika-teplo, ogion
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
dobryj.kit теперь стал Делегатом! Ваш голос важен для всего сообщества!!!
Поддержите нас на странице https://golos.io/~witnesses, вот так:
notes.io симпатично выглядит, поюзаю