BackDoor.Gootkit.112 - nowy wielofunkcyjny backdoor

Bardzo skomplikowane trojany wieloskładnikowe zdolne są do wykonywania poleceń na zainfekowanym komputerze. Analitycy Doctor Web niedawno zbadali jeden taki program, który został nazwany w nomenklaturze sygnaturowej BackDoor.Gootkit.112

Aby pobrać ładunek, BackDoor.Gootkit.112 wstrzykuje specjalny kod do powłoki w procesach services.exe, EXPLORER.EXE, IEXPLORE.EXE, firefox.exe, Opera.exe i chrome.exe. Głównym celem wprowadzonego kodu jest pobranie modułu bloku danych z rejestru systemowego lub ze zdalnego serwera. Załadowane pliki binarne są kompresowane i szyfrowane.

Trojan może wykonać następujące polecenia:

  • Przechwytywanie ruchu http
  • Wstrzykiwanie złosliewego kodu do innych procesów
  • Blokowanie określonych adresów URL
  • Zrzuty ekranu
  • Uzyskać listę procesów uruchomionych
  • Nabyć listę lokalnych użytkowników i grup
  • Zakończyć określone procesy
  • Wykonywać polecenia powłoki
  • Uruchomić pliki wykonywalne
  • Automatyczna aktualizacja

i kilka innych.

Jak wspomniano powyżej, program wykorzystuje rzadką metody wstrzykiwania kodu do procesów. Podobny algorytm został opisany na forum wasm.ru przez użytkownika o nazwie Great:

Sygnatura unieszkodliwiająca BackDoor.Gootkit.112 została dodana do bazy wirusów Dr.Web. Trojan nie stanowi zagrożenia dla komputerów chronionych programami Dr.Web.

źródło: Doctro Web



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.