,
Наш опрос
Любимая ОС для моб.устройства?
Android
Symbian
Apple iOS
Bada
Windows Mobile
Другая
«    Июль 2017    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 



«Доктор Веб» нашел многофункциональный бэкдор BackDoor.Gootkit.112
  • 0

Специалисты компании «Доктор Веб» обнаружили новый сложный многокомпонентный троянц, обладающие функциональности бэкдора, то есть способные выполнять на инфицированном компьютере поступающие с удаленного сервера команды, встречаются в «дикой природе» нечасто.

«Доктор Веб» нашел многофункциональный бэкдор BackDoor.Gootkit.112
BackDoor.Gootkit.112

Модуль, отвечающий за инсталляцию бэкдора в систему и реализацию функций буткита, явно был позаимствован разработчиками BackDoor.Gootkit.112 у троянцев семейства Trojan.Mayachok. При этом вирусописатели все-таки внесли в исходный код ряд существенных изменений. Помимо прочего, из драйвера удалены все компоненты, отвечающие за связь с ним работающих в пользовательском режиме модулей троянца, — например, позволявшие этим модулям использовать ресурсы скрытой файловой системы VFS. При этом функции инициализации и защиты этой файловой системы в BackDoor.Gootkit.112 остались.

Для повышения своих привилегий в инфицированной системе BackDoor.Gootkit.112 использует оригинальную методику обхода защиты учетных записей (User Accounts Control, UAC) — для этого используется штатный механизм операционной системы shim (Microsoft Windows Application Compatibility Infrastructure). Троянец задействует в своих целях программу сетевого клиента SQL Server (cliconfg.exe) — в манифесте этой программы свойству AutoElevate соответствует значение true, поэтому Windows поднимает для таких приложении привилегии в обход UAC.

С использованием библиотеки apphelp.dll BackDoor.Gootkit.112 создает в Windows базу данных, имя которой и значение параметра Application генерирует случайным образом. Для загрузки троянца используется свойство RedirectEXE, позволяющее запустить вместо указанного приложения его «исправленную» версию или саму вредоносную программу. В качестве параметра свойства RedirectEXE BackDoor.Gootkit.112 указывает путь к своему исполняемому файлу и ссылку на созданную базу данных. В троянце используется редкий метод внедрения кода в запущенные процессы.

источник: ferra.ru



К этому материалу добавили следующие метки: . По этим меткам материал может быть найден у нас на сайте. Также по правилам хорошего тона, вы можете поблагодарить человека, который выложил данный материал, при условии, что он вам, конечно, понравился (материал). Для этого вы можете оставить комментарий. Внимание! Не используйте одни только смайлики в качестве выражения эмоций. Пишите достойный текст. За нарушение правил вы можете получить временную блокировку на сайте. Теперь вы можете посмотреть материалы, которые по своим особенностям схожи с данной новостью.
Высказать мнение