Турецкий бэкдор маскируется под службу Windows Power Management

Эксперты компании «Доктор Веб» завершили анализ обнаруженного еще в мае бэкдора BackDoor.Zetbo.1.

Компания пришла к выводу, что создатели вируса, способного скрытно выполнять на зараженной машине различные команды, родом из Турции.

Утилита BackDoor.Zetbo.1 проникает в операционную систему под видом системной службы winpwrmng (предназначена для настройки параметров электропитания, полное название Windows Power Management).

Вредоносная программа хранится на жестком диске в виде файла taskmgr.exe (исполняемый файл), остальные файлы сохраняются в каталоге %APPDATA%\Roaming. В процессе заражения на рабочем столе также могут выводиться сообщения об ошибке на турецком языке, что также подтверждает версию о турецких вирусописателях.

После активации на ПК, вредоносная служба проверяет активность бэкдора, запуская его при необходимости. При попытке вручную остановить данную службу происходит автоматическое завершение работы Windows, при этом на экране отображается сообщение об ошибке.

Как отметили эксперты, функционал приложения стандартен для вирусов данного класса – выполнение на компьютере команд, поступающих с управляющего узла (адрес сервера изначально прописан в программном коде).

Бэкдор может выполнять команды для обновления собственных модулей, проверку из наличия на диске, удаление файлов, а также завершать работу системы. Троянская программа способна также отправлять злоумышленникам информацию об атакованном компьютере, включая серийный номер винчестера.

В компании обратили внимание на нестандартный способ получения параметров от сервера управления. После соединения с удаленным хостом BackDoor.Zetbo.1 находит специальную web-страницу, на которой расположено несколько стандартных кнопок. HTML-теги данных элементов содержат необходимые параметры, которые извлекаются вредоносной утилитой после анализа.

В данный момент сигнатура троянской программы добавлена в антивирусные базы и успешно детектируется популярными антивирусными решениями.

Кстати, а вот как создается в Одноклассники моя страница!