Поиск
Дополнительное меню

Новости ИТ-бизнеса для Профессионалов

18 ноября : суббота

Курсы

USD ЦБ РФ 17/11 59.9898 -0.2592
EUR ЦБ РФ 17/11 70.704 -0.4681
EUR/USD 17/11 1.1786 -0.0027

Python.BackDoor позволяет злоумышленникам красть пароли, перехватывать нажатия клавиш и удаленно выполнять команды

17.10.2017 10:26

Аналитики "Доктор Веб" исследовали бэкдор, написанный на языке Python. Бэкдорами принято называть вредоносные программы, способные выполнять поступающие от злоумышленников команды и предоставлять им возможность несанкционированного управления инфицированным устройством.

Внутри Python.BackDoor.33 хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc. Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.

После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z, затем пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в интернете, включая pastebin.com, docs.google.com и notes.io. Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark, фиксировать нажатия клавиш и делать снимки экрана, загружать дополнительные модули на Python и исполнять их, скачивать файлы и сохранять их на носителе инфицированного устройства, получать содержимое заданной папки, перемещаться по папкам и запрашивать информацию о системе. Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована.

Источник: @Astera

Смотри также: Безопасность

17 октября