Предотвращена атака опасного троянца на оборонные предприятия

«Доктор Веб» исследовала новую вредоносную программу, которая способна выполнять внешние команды и передавать информацию с зараженного устройства. Специалисты рассказали, что троянская программа распространялась в ходе атаки, направленной на крупный российский концерн, в составе которого много предприятий оборонного профиля.

Бэкдор, занесенный в базы как BackDoor.Hser.1, злоумышленники распространяют при помощи целевой рассылки. Для этого используются электронные адреса, принадлежащие предприятиям в составе холдинга. В качестве отправителя указывался сотрудник головной организации. В тексте была просьба срочно ознакомиться с информацией о неком оборудовании, к письму был прикреплен файл с расширением .xls (редактор Microsoft Excel).

Вложенный файл содержал эксплойт, эксплуатирующий уязвимость с кодом CVE2012-0158 (присутствует в некоторых версиях редактора). При открытии такого файла в системе стартует процесс excel.exe, после чего в него интегрируется дроппер троянца.

Данный модуль извлекает из своего файла бэкдор и сохраняет его в каталоге Tasks (в папке Windows), называя файл npkim.dll. Вредоносная библиотека регистрируется в параметрах автозагрузки, после чего запускается утилита cmd.exe, при помощи которой удаляется файл процесса, в который дроппер был встроен.

После активации на зараженной машине вирус расшифровывает адрес командного сервера (прописан в теле) и соединяется с ним. В первую очередь злоумышленникам отправляется информация о взломанном ПК – версия ОС, IP-адрес, наличие прокси-сервера и т.п. После этого утилита ожидает загрузки новых команд. Кроме прочего, BackDoor.Hser.1 способен по внешней команде отправлять на управляющий сервер перечень активных процессов, загружать и активировать другие вредоносные программы, а также инициировать перенаправление ввода-вывода, что позволяет преступникам получить контроль над ПК.

Оставить комментарий