Специалисты компании «Доктор Веб» рассказали об обнаружении нового бэкдора, основная особенность которого заключается в том, что он написан на языке Python. Исследователи пишут, что внутри трояна хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.
Малварь получила идентификатор Python.BackDoor.33. Специалисты рассказывают, что вредонос сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. То есть основные функции бэкдора выполняются уже после перезагрузки зараженной системы.
Затем троян пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.
После Python.BackDoor.33 пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:
Узнав IP-адрес и порт, малварь отсылает на управляющий сервер специальный запрос. Если ответ получен, с управляющего сервера будет загружен и запущен сценарий на языке Python, которому аналитики присвоили идентификатор Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, троян способен проверять подключенные к зараженному устройству носители информации и заражать их схожим образом.
При помощи Python.BackDoor.35 злоумышленники могут:
- похищать информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark;
- фиксировать нажатия клавиш и делать снимки экрана;
- загружать дополнительные модули на Python и исполнять их;
- скачивать файлы и сохранять их на носителе инфицированного устройства;
- получать содержимое заданной папки;
- перемещаться по папкам;
- запрашивать информацию о системе;
- предусмотрена также функция самообновления, однако в настоящий момент она не задействована.