Турецкий бэкдор маскируется под службу Windows Power Management
Компания «Доктор Веб» изучила обнаруженный еще в конце мая 2014 г. бэкдор BackDoor.Zetbo.1 и пришла к заключению, что разработчиками этого трояна, способного выполнять на инфицированном компьютере различные команды, являются вирусописатели из Турции. Об этом CNews сообщили в «Доктор Веб».
Вредоносная программа BackDoor.Zetbo.1 устанавливается в систему под видом службы Windows Power Management (winpwrmng), имеющей следующее описание: Allows Users to Manage the Power Options (позволяет пользователям настраивать параметры электропитания). Бэкдор сохраняется на диск в виде исполняемого файла с именем taskmgr.exe, а все свои файлы он хранит в папке %APPDATA%\Roaming\. При установке в систему BackDoor.Zetbo.1 выводит сообщение на турецком языке: «rundll bu dosyayı açamıyor. Dosya çok büyük», что в переводе означает: «rundll не может открыть этот файл. Файл слишком велик».
Запустившись на зараженном ПК, вредоносная служба следит за тем, работает ли в системе бэкдор, и, если нет, осуществляет его принудительный запуск. При попытке остановки службы троян завершает работу Windows, демонстрируя на экране сообщение: Windows had to be closed. Windows Power Services is turned off, рассказали в «Доктор Веб».
По словам экспертов компании, основное предназначение этой вредоносной программы вполне обычно для бэкдоров — выполнение на инфицированном компьютере различных команд, поступающих от управляющего сервера (адрес которого «зашит» в теле самого бота), в том числе команд на обновление, удаление файлов, проверку наличия на диске собственных компонентов, завершение работы системы. Троян способен передавать злоумышленникам различную информацию о зараженной машине (например, серийный номер жесткого диска).
Вместе с тем, любопытен способ получения бэкдором параметров от управляющего сервера: соединившись с удаленным узлом, BackDoor.Zetbo.1 ищет размещенную на нем злоумышленниками специальную веб-страницу, на которой расположено несколько кнопок. Проанализировав значения html-тэгов, отвечающих за отображение этих кнопок в браузере, троян определяет необходимые для своей работы конфигурационные данные, отметили в компании.
Бэкдор анализирует значения html-тэгов на веб-странице для получения параметров от управляющего сервера
Сигнатура BackDoor.Zetbo.1 добавлена в вирусные базы Dr.Web, поэтому данная вредоносная программа не представляет опасности для пользователей антивирусных продуктов компании, указали в «Доктор Веб».
© CNews
