Специалисты компании «Доктор Веб» рассказали об обнаружении нового бэкдора, основная особенность которого заключается в том, что он написан на языке Python. Исследователи пишут, что внутри трояна хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.

Малварь получила идентификатор Python.BackDoor.33. Специалисты рассказывают, что вредонос сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. То есть основные функции бэкдора выполняются уже после перезагрузки зараженной системы.

Затем троян пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.

После Python.BackDoor.33 пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:

Узнав IP-адрес и порт, малварь отсылает на управляющий сервер специальный запрос. Если ответ получен, с управляющего сервера будет загружен и запущен сценарий на языке Python, которому аналитики присвоили идентификатор Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, троян способен проверять подключенные к зараженному устройству носители информации и заражать их схожим образом.

При помощи Python.BackDoor.35 злоумышленники могут:

  • похищать информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark;
  • фиксировать нажатия клавиш и делать снимки экрана;
  • загружать дополнительные модули на Python и исполнять их;
  • скачивать файлы и сохранять их на носителе инфицированного устройства;
  • получать содержимое заданной папки;
  • перемещаться по папкам;
  • запрашивать информацию о системе;
  • предусмотрена также функция самообновления, однако в настоящий момент она не задействована.

5 комментариев

  1. Аватар

    lone_wolf

    17.10.2017 at 22:00

    И как с этим бороться? Ну кроме как купить их антивирус, и не лазить и качать с неизвестных сайтов всякое гуано.

  2. Аватар

    jogick

    17.10.2017 at 22:25

    Дожились.
    С такими темпами скоро будут на Java вирусов писать и таскать с собой jvm. Про времена когда вирусов на асме писали, пора забывать.

  3. Аватар

    john_

    29.10.2017 at 15:55

    Забавно. Что дальше? Паскаль? 😂

Оставить мнение