Windows atakowany przez BackDoor.Yebot

Przeczytaj także: Nowy backdoor atakuje Windows

BackDoor.Yebot rozpowszechnia się z użyciem innego malware, dodanego do bazy wirusów Dr.Web jako Trojan.Siggen6.31836. Uruchomiona na docelowej maszynie złośliwa aplikacja wstrzykuje swój kod do procesów svchost.exe, csrss.exe, lsass.exe i explorer.exe. Po wysłaniu odpowiedniego żądania na zdalny serwer pobiera i deszyfruje BackDoor.Yebot, przeprowadza wszystkie manipulacje w jego obszarze pamięci i przekazuje mu kontrolę. Niektóre funkcjonalności Trojan.Siggen6.31836 są zaszyfrowane (mogą być rozszyfrowane tylko podczas wykonywania programu. Aby dokonać tej operacji złośliwy program rezerwuje obszar pamięci, który jest automatycznie uwalniany z chwilą wykonania kodu dotyczącego tej funkcji). Malware zawiera również mechanizm sprawdzający, czy zaatakowany system jest maszyną wirtualną, oraz posiada mechanizm omijający User Accounts Control systemu Windows.

BackDoor.Yebot posiada zdolność do:

• uruchamiania na zainfekowanym komputerze serwera FTP;
• uruchamiania na zainfekowanym komputerze serwera proxy SOCKS5;
• modyfikowania protokołu RDP w celu zapewnienia zdalnego dostępu do zainfekowanego komputera;
• logowania naciśnięć klawiszy na zainfekowanym PC (keylogging);
• ustawiania kanału zwrotnego z użyciem zainfekowanego PC dla protokołów FTP, RDP i SOCKS5, jeśli sieć używa mechanizmu NAT (backconnect);
• przechwytywania danych z użyciem wzorców PCRE (Perl Compatible Regular Expressions) - biblioteki, która implementuje wyrażenie regularne w języku Perl, z tego powodu Trojan przechwytuje wszystkie możliwe funkcjonalności powiązane z surfowaniem w sieci www;
• przechwytywania tokenów SCard;
• wstrzykiwania niepożądanej zawartości do stron www załadowanych do okien przeglądarki (web injection);
• przechwytywania różnych funkcji systemowych, zależnie od przyjętego pliku konfiguracyjnego;
• wchodzenia w interakcje z różnymi modułami funkcjonalnymi (wtyczkami);
• przechwytywania zrzutów ekranu;
• wyszukiwania w zainfekowanym systemie kluczy prywatnych.

BackDoor.Yebot wykorzystuje standardowy protokół HTTP, jak i natywny protokół binarny do wymiany danych z serwerem kontrolno-zarządzającym. Dodatkowo serwer C&C Trojana wykorzystuje paranoidalne ustawienia: potrafi np. dodać adres IP do czarnej listy, gdy żądanie jest nieprawidłowe lub jeśli stwierdzi zbyt wiele żądań z jednego adresu IP.

Analitycy Doctor Web sugerują, że BackDoor.Yebot może być używany przez intruzów jako Trojan bankowy, głównie dzięki temu, że jest wielofunkcyjny – posiada szeroki zakres funkcjonalności i zdolność do interakcji z różnymi modułami dodatkowymi. Sygnatury BackDoor.Yebot i Trojan.Siggen6.31836 zostały dodane do bazy wirusów Dr.Web i z tego powodu nie stanowią one zagrożenia dla komputerów chronionych przez oprogramowanie Dr.Web.

Autor: