Следующая новость
Предыдущая новость

Специалисты «Доктор Веб» изучили бэкдор, написанный на Python

17.10.2017 19:56
Специалисты «Доктор Веб» изучили бэкдор, написанный на Python

Специалисты компании «Доктор Веб» рассказали об обнаружении нового бэкдора, основная особенность которого заключается в том, что он написан на языке Python. Исследователи пишут, что внутри трояна хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.

Малварь получила идентификатор Python.BackDoor.33. Специалисты рассказывают, что вредонос сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. То есть основные функции бэкдора выполняются уже после перезагрузки зараженной системы.

Затем троян пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.

После Python.BackDoor.33 пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:

Узнав IP-адрес и порт, малварь отсылает на управляющий сервер специальный запрос. Если ответ получен, с управляющего сервера будет загружен и запущен сценарий на языке Python, которому аналитики присвоили идентификатор Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, троян способен проверять подключенные к зараженному устройству носители информации и заражать их схожим образом.

При помощи Python.BackDoor.35 злоумышленники могут:

  • похищать информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark;
  • фиксировать нажатия клавиш и делать снимки экрана;
  • загружать дополнительные модули на Python и исполнять их;
  • скачивать файлы и сохранять их на носителе инфицированного устройства;
  • получать содержимое заданной папки;
  • перемещаться по папкам;
  • запрашивать информацию о системе;
  • предусмотрена также функция самообновления, однако в настоящий момент она не задействована.

Источник

Последние новости