Рейтинг СМИ

Посетите рейтинг сайтов СМИ. В рейтинге учавствуют лучшие СМИ ресурсы.

Перейти на Рейтинг
Home » Cобытия

BackDoor.Butirat ворует и перехватывает

Суббота, 29 октября 2011

BackDoor.Butirat ворует
информацию с компьютеров и перехватывает трафик браузеров

«Доктор Веб», российский
разработчик средств информационной безопасности, отмечает рост числа новых
модификаций семейства троянских программ BackDoor.Butirat. Эти вредоносные
программы способны загружать из Интернета и запускать различные файлы,
передавать злоумышленникам информацию с инфицированного компьютера и
перехватывать трафик установленных в системе браузеров. 

Вредоносные программы семейства
BackDoor.Butirat известны с 2010 года. На сегодня в вирусных базах Dr.Web
насчитывается более 30 различных версий этого троянца. Интересно, что данный
бэкдор не теряет своей популярности у распространителей вирусов: он по-прежнему
часто загружается с различных сайтов, распространяющих вредное ПО. Возможно, широкое
распространение этой программы связано с относительной легкостью ее
модификации. Кроме того, злоумышленники регулярно перепаковывают новые версии
BackDoor.Butirat, что порой затрудняет их детектирование. 

Ранние модификации BackDoor.Butirat
распространялись в виде динамической библиотеки, написанной на языке С++.
Троянец отправлял различные запросы в баннерообменные сети для активации того
или иного баннера. К классу бэкдоров его отнесли, прежде всего, потому, что он
позволял выполнять различные директивы, поступающие с удаленного командного
центра, например, команду на обновление. 

Более поздние реализации
BackDoor.Butirat значительно расширили свои функциональные возможности.
Например, BackDoor.Butirat.25, добавленный в вирусные базы в октябре 2011 года,
обладает не только возможностью обработки удаленных команд, но и способностью
модифицировать в своей копии дату PE-заголовка с целью изменения хеша файла.
Эта версия BackDoor.Butirat также связана с рекламой: помимо иного функционала,
она использует ресурсы систем контекстных объявлений (begun.ru и др.) для
генерации нажатий на различные баннеры. 

Отличительной особенностью
троянцев семейства BackDoor.Butirat является то, что после своего запуска они
создают в системной папке ApplicationData файл netprotocol.exe и регистрируют
его в ветви реестра, отвечающей за автозапуск приложений. Основная опасность
для пользователя, которую несут в себе троянцы семейства BackDoor.Butirat,
заключается в том, что они способны загружать с удаленного узла и запускать на
выполнение произвольные приложения, а также передавать злоумышленникам
различные файлы с инфицированного компьютера. В частности, в последнее время
BackDoor.Butirat.25 скачивает на инфицированный компьютер троянца
Trojan.Hosts.5006, ворующего пароли систем онлайн-банкинга Сбербанка и
Альфа-Банка. 

Кроме того, отдельные модификации
BackDoor.Butirat могут перехватывать входящий и исходящий трафик в различных
браузерах (опасности подвержены, прежде всего, Internet Explorer, Firefox и
Opera), благодаря чему злоумышленники могут отслеживать поисковые запросы
пользователей к поисковым системам Yandex, Google, Yahoo, Nigma, Bing, Rambler,
search.qip.ru, Rupoisk.ru и перенаправлять браузер на различные сайты, список
которых передается троянцу с удаленного командного центра. 

Антивирусная лаборатория компании
«Доктор Веб» регулярно регистрирует появление новых модификаций
BackDoor.Butirat, все они оперативно добавляются в вирусные базы Dr.Web.

Источник: КамСити – Новости Камчатки