Nowy trojan wykorzystujący backdoora w Windows

To że produkty Microsoft bywają dziurawe niczym szwajcarski ser nikogo specjalnie nie dziwi, mimo, iż przed premierą każdej nowej wersji oprogramowania firma zastrzega się, że poprawiła już wszystkie błędy.

Nowe oprogramowanie ściąga się i instaluje pod systemem operacyjnym wykorzystując backdoora. Równie niebezpieczne jest to, że wirus posiada, klasycznego keyloggera. Dzięki takiemu rozwiązaniu jest w stanie wykraść prawie wszystkie hasła jakie prowadzamy z klawiatury.

Już podczas instalacji trojan o nazwie BackDoor.Saker.1 wykorzystuje złośliwy kod o nazwie temp.exe Jego zadaniem jest obejście zabezpieczeń Windowsa (UAC) Przez upośledzenie kontroli bezpośrednia wirus zyskuje możliwość uruchamiania się we wszystkich kluczowych elementach systemu np. exlplorer.exe

Na tym jednak nie koniec z pomocą programu sys.rep następuje uruchomienie ps.exe (Trojan.MulDrop4.61259), który z kolei zapisuje ‚Net Security Service’ czyli nowy klucz w systemie Windows. Oczywiście w trosce o mniej doświadczonych użytkowników zadbano by biblioteka generowała odpowiednie komunikaty np. keep watch on system security and configuration. if this services is stopped, protected content might not be downloaded to the device (Monitoruj ustawienia i zabezpieczenia systemu. Jeśli ta usługa zostanie przerwana, mogą zostać pobrane niezabezpieczone dane).

BackDoor.Saker.1 wykonuje zmianę danych w systemie kontroli wymiany danych z serwere. W ten sposób zbierane są bardzo zróżnicowane dane, które są przekazywane cyberprzestępcom.  Co ciekawe udało się ustalić, że zbierane są takie informacje jak wersja Windows, obciążenie pamięci RAM, szybkość procesora, nazwa komputera czy numer seryjny dysku twardego.

Zależnie od zwrotnego komunikatu serwera może dokonać wyłączenia komputera zmieszczenia zawartości, uruchomienie własnego menadżera plików.