Vluvre.ru

Организация «Врач Интернет» предостерегает о распространении небезопасной вредной платформы BackDoor.Yebot, направленной на индивидуальные ПК под регулированием ОС Виндоус.

Jayden Brookes/Corbis

Бэкдор проходит на ПК жертвы с помощью иного зловреда —  вируса Siggen6.31836. Запустившись на атакуемом ПК, данная платформа вделывает свой код в процессы svchost.exe, csrss.exe, lsass.exe и эксплорер.exe. После этого с бравённого компьютера грузится и расшифровывается прямо бэкдор Yebot. Сам вирус Siggen6.31836 интересен тем, что часть применяемых им функций зашифрована; также, данная платформа может нарушать технологию наблюдения учетных записей клиента (User Accounts Control, UAC).

Loop Images/Corbis

Попав на ПК жертвы, бэкдор Yebot может делать наиболее различные действия. Среди главных функций зловреда стоит отметить:

• старт Ftp;
• старт Proxy5 прокси-сервера;
• версия протокола RDP для снабжения бравённого доступа к инфицированной системе;
• захват клавиатурного ввода;
• захват данных по стандартам PCRE (Perl Compatible Regular Expressions) — библиотеки, реализующей работу постоянных выражений в среде Perl, для чего троянец перехватывает все вероятные функции, сопряженные с работой в Сети-интернет;
• захват токенов SCard;
• встраивание в пробегаемые клиентом интернет-страницы чужого содержимого;
• постановка перехватов разных системных функций зависимо от принятого конфигурационного документа;
• версия кода заброшенного процесса;
• взаимодействие с разными многофункциональными устройствами (плагинами);
• образование скриншотов;
• поиск в инфицированной системе частных ключей.

Также, как считают специалисты, вредная платформа может делать функции банковского вируса. Для размена данными с правящим компьютером BackDoor.Yebot применяет как обычный акт HTTP, так и свой двоичный акт.