Bardzo skomplikowane trojany wieloskładnikowe zdolne są do wykonywania poleceń na zainfekowanym komputerze. Analitycy Doctor Web niedawno zbadali jeden taki program, który został nazwany w nomenklaturze sygnaturowej BackDoor.Gootkit.112

Aby pobrać ładunek, BackDoor.Gootkit.112 wstrzykuje specjalny kod do powłoki w procesach services.exe, EXPLORER.EXE, IEXPLORE.EXE, firefox.exe, Opera.exe i chrome.exe. Głównym celem wprowadzonego kodu jest pobranie modułu bloku danych z rejestru systemowego lub ze zdalnego serwera. Załadowane pliki binarne są kompresowane i szyfrowane.

Trojan może wykonać następujące polecenia:

  • Przechwytywanie ruchu http
  • Wstrzykiwanie złosliewego kodu do innych procesów
  • Blokowanie określonych adresów URL
  • Zrzuty ekranu
  • Uzyskać listę procesów uruchomionych
  • Nabyć listę lokalnych użytkowników i grup
  • Zakończyć określone procesy
  • Wykonywać polecenia powłoki
  • Uruchomić pliki wykonywalne
  • Automatyczna aktualizacja

i kilka innych.

Jak wspomniano powyżej, program wykorzystuje rzadką metody wstrzykiwania kodu do procesów. Podobny algorytm został opisany na forum wasm.ru przez użytkownika o nazwie Great:

Sygnatura unieszkodliwiająca BackDoor.Gootkit.112 została dodana do bazy wirusów Dr.Web. Trojan nie stanowi zagrożenia dla komputerów chronionych programami Dr.Web.

źródło: Doctro Web

AUTOR:

Adrian Ścibor

Podziel się