Вирус-backdoor.

BackDoor.Dande инфицировал 2857 компьютеров фармацевтических компаний.

В ноябре 2011 года антивирусные компании уже сообщали о появлении узкоспециализированного троянского приложения BackDoor.Dande, предназначенного для кражи данных у представителей фармацевтических компаний России.

При помощи технологии sinkhole эксперты смогли получить контроль над ботсетью Dande, что позволило им на протяжении полугода наблюдать за алгоритмом ботнета. На протяжении всего времени наблюдения за троянское приложение ничуть не утратило свою активность.

BackDoor.Dande – относительно сложная многокомпонентная троянская программа, шифрующая свои модули ключом, который привязан к конкретной зараженной системе, и способная самостоятельно загружать их в память. Вследствие этого детектировать данные модули можно только в оперативной памяти инфицированного компьютера, а декодировать их отдельно от зараженного ПК очень сложно по причине уникальности ключа.

Также стоит отметить, что загрузчик модулей интегрируется в первую секцию системной библиотеки Windows, в результате чего ее практически невозможно отличить от первоначальной библиотеки по формальным признакам.

Для интеграции в операционную систему BackDoor.Dande использует системную библиотеку msi.dll. Дроппер троянского приложения интегрирует код вируса в системную службу MSIServer, используя ее для дальнейшего инфицирования рабочей станции. После загрузки модуля инфектора в оперативную память осуществляется проверка используемой версии операционной системы: если это Windows XP, осуществляется инфицирование библиотеки advapi32.dll, в системах более старших поколений изменяется библиотека kernelbase.dll. Именно в эти системные файлы добавляется модуль бэкдора, предназначенный для выполнения внешних инструкций и загрузки дополнительных компонентов вируса.
После успешной инсталляции и активации бэкдора он соединяется с удаленным командным сервером и передает данные о зараженном компьютере, после чего по инструкции осуществляет загрузку и запуск шпионской программы Trojan.PWS.Dande.

Основные функции данного приложения – кража данных клиентских программ «Системы электронного заказа», которые позволяют различным фармацевтическим организациям и аптекам заказывать медицинские препараты у поставщиков. Все украденные данные в зашифрованном виде передается на сервер злоумышленников. Если нужной информации на инфицированном ПК не обнаружено, троянская утилита с помощью встроенных модулей излечивает ранее измененные файлы и полностью удаляется с компьютера.



понравился пост

20.07.2012 amdin 0 2322
avatar
Общайся на форумах и получай деньги - Advego.ru