Bardzo skomplikowane trojany wieloskładnikowe zdolne są do wykonywania poleceń na zainfekowanym komputerze. Analitycy Doctor Web niedawno zbadali jeden taki program, który został nazwany w nomenklaturze sygnaturowej BackDoor.Gootkit.112
Aby pobrać ładunek, BackDoor.Gootkit.112 wstrzykuje specjalny kod do powłoki w procesach services.exe, EXPLORER.EXE, IEXPLORE.EXE, firefox.exe, Opera.exe i chrome.exe. Głównym celem wprowadzonego kodu jest pobranie modułu bloku danych z rejestru systemowego lub ze zdalnego serwera. Załadowane pliki binarne są kompresowane i szyfrowane.
Trojan może wykonać następujące polecenia:
- Przechwytywanie ruchu http
- Wstrzykiwanie złosliewego kodu do innych procesów
- Blokowanie określonych adresów URL
- Zrzuty ekranu
- Uzyskać listę procesów uruchomionych
- Nabyć listę lokalnych użytkowników i grup
- Zakończyć określone procesy
- Wykonywać polecenia powłoki
- Uruchomić pliki wykonywalne
- Automatyczna aktualizacja
i kilka innych.
Jak wspomniano powyżej, program wykorzystuje rzadką metody wstrzykiwania kodu do procesów. Podobny algorytm został opisany na forum wasm.ru przez użytkownika o nazwie Great:
Sygnatura unieszkodliwiająca BackDoor.Gootkit.112 została dodana do bazy wirusów Dr.Web. Trojan nie stanowi zagrożenia dla komputerów chronionych programami Dr.Web.
źródło: Doctro Web
