(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

"Доктор Веб" исследовал бэкдор, написанный на Python

Источник: itnews

Бэкдорами принято называть вредоносные программы, способные выполнять поступающие от злоумышленников команды и предоставлять им возможность несанкционированного управления инфицированным устройством.

Аналитики "Доктор Веб" исследовали новый бэкдор, особенность которого заключается в том, что он написан на языке Python.

Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33. Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.

Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.

После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом "скрытый"), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.

Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:

Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам:

красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark; 
фиксировать нажатия клавиш и делать снимки экрана; 
загружать дополнительные модули на Python и исполнять их; 
скачивать файлы и сохранять их на носителе инфицированного устройства; 
получать содержимое заданной папки; 
перемещаться по папкам; 
запрашивать информацию о системе. 
Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована. Сигнатуры всех упомянутых выше вредоносных программ добавлены в вирусные базы Dr.Web и не представляют опасности для наших пользователей.



 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 17.10.2017 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Купить Антивирус Dr.Web Server Security Suite для сервера
Комплект Dr.Web «Универсальный», 1 год, 5 ПК
Купить, скачать Dr.Web Security Space, 1 год, 1 ПК
Dr.Web Security Space, продление лицензии на 1 год, 1 ПК
RAD Studio 10 Seattle Professional New User - Named ESD
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
CubeX Duo
PICASO 3D Designer (Желтый)
MakerBot Replicator 2
MakerBot Replicator 2-head
3D сканер SENSE
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Краткие описания программ и ссылки на них
Delphi - проблемы и решения
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Безопасность компьютерных сетей и защита информации
CASE-технологии
 
Рассылки Maillist.ru
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Территория Linux - вход свободный
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Access, Ключевое поле, Счетчик (9)
Подскажите пожалуйста, как изменить в Access в ключевом поле (счетчик последовательно),...
 
Помощь по MS Access (323)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
Как извлечь рисунки из файла Word (39)
Вообще-то есть еще способ - сделать в Word-е Copy рисунка, открыть Microsoft Photo Editor и там:...
 
Уроки по JavaScript для новичков (1)
Всем привет! Вот хочу поделиться классным сайтом для начинающих изучать программирование на ...
 
Смена имени учётной записи в WinXP (111)
День добрый! Иногда у меня возникает такая проблема. Покупают в контору новый компьютер, а у...
 
 
 



    
rambler's top100 Rambler's Top100