ТеорФизика
Стерлитамакский филиал БашГУ

Страница 1 из 11
Форум theorphysics.info » Новости » Новости IT и Интернет » Новое вредоносное ПО BackDoor.IRC.Aryan.1 (Создан бот обладающий специфическими особенностями.)
Новое вредоносное ПО BackDoor.IRC.Aryan.1
qudabr
26.05.2012, 18:08
Сообщение # 1
Прохожий
Группа: Пользователи
Сообщений: 1
Награды: 0
Статус: Оффлайн
Компанией "Доктор Веб" было сделано заявление о распространении новой вредоносной программы BackDoor.IRC.Aryan.1. Данная утилита имеет обширную функциональность, позволяющую загрузить с удаленного компьютера на инфицированный сервер вредоносные файлы, и запускать их по команде преступников. Она также может осуществлять мощные DDoS-атаки под прямым контролем злоумышленников. Специалисты отнесли данную программу к разряду IRC-ботов. После распаковки своих файлов она клонируется на съемные диски с помощью инфицированной папки находящейся в корневой директории носителя, а также всем известного скрытого файла автозапуска autorun.inf
Помимо этого, IRC-бот имеет еще несколько возможностей заражения распространенных носителей информации (таких как флеш и CD диски). Вот одна из них: программа вставляет собственное "тело" на носитель, скрывает найденные файлы в заранее созданную ей папку, а вместо оригиналов размещает ярлыки, которые ссылаются как на спрятанную информацию, так и на файлы автозапуска бота. В результате чего, при открытии фальшивого ярлычка юзером, вместе с нужным файлом активируется и вредоносное ПО. По окончанию заражения диска, бот отсылает отчет на IRC-канал, заранее скрытый злоумышленниками. Дальше вирус создает копии своих файлов и помещает их под именем svmhost.exe, ссылка же на данные файлы размещается в ветви системного реестра автозапуска Windows. На этом бот не останавливается и делает попытки встроить свой код в процесс explorer.exe. Помимо этого, BackDoor.IRC.Aryan.1 располагает механизмами активной самозащиты: в отдельных потоках ПО она постоянно контролирует свое наличие на носителе и, если какой-либо файл отсутствует в целевой папке, копирует его туда из зараженного участка ОЗУ. Параллельной задачей ставится проверка наличия соответствующих записей в системном реестре компьютера, при этом бот пытается вставить специальный код, основной функцией которого является периодический перезапуск вредоносных файлов, в процессы dwm.exe, csrss.exe и alg.exe. Все это делает IRC-бота еще более неуязвимым.
 
Форум theorphysics.info » Новости » Новости IT и Интернет » Новое вредоносное ПО BackDoor.IRC.Aryan.1 (Создан бот обладающий специфическими особенностями.)
Страница 1 из 11
Поиск: