Odkryto trojana przesyłającego hakerowi zrzuty ekranu komputera

Analitycy bezpieczeństwa Doctor Web odkryli nowego trojana, który wysyła na zdalny serwer zrzuty ekranu zrobione na zainfekowanym komputerze, a także jest zdolny do sprawdzania obecności środowiska wirtualnego i programów antywirusowych.

Trojan otrzymał nazwę VBS.BackDoor.DuCk.1. Jest napisany w skryptowej odmianie języka Visual Basic - Visual Basic Script. Cyberprzestępcy rozprowadzają go pod postacią pliku ikony LNK z wbudowanym skryptem VBS. Po kliknięciu skrypt VBS jest wypakowywany, zapisywany jako oddzielny plik i uruchamiany. Na początku skryptu są umieszczone trzy linki: dwa z nich przekierowują użytkownika na serwis YouTube, trzeci prowadzi do serwisu Dropbox. Co ciekawe, jeśli wykryje zainstalowany na komputerze program antywirusowy, nie wykonuje jednego ze swoich skryptów.

widok po przekierowaniu (foto: Doctor Web)

widok po przekierowaniu (foto: Doctor Web)

Backdoor używa swojej własnej biblioteki w celu wykonywania zrzutów ekranu, które zapisywane są w katalogu tymczasowym jako pliki z rozszerzeniem .tmp. Przez użycie specjalnego pliku rejestru, trojan wyłącza dodatki Microsoft Internet Explorera, a jeśli działa na systemie Vista, wtedy korzysta z innego pliku REG w celu wyłączenia trybu chronionego tej przeglądarki. VBS.BackDoor.DuCk.1 wykonuje komendy pobierania na zainfekowany komputer innych szkodników oraz przesyłanie zrzutów ekranu na zdalny serwer. Potrafi również wykonywać na zainfekowanej maszynie skrypt w języku Python, a efekty jego działania są wysyłane na serwer cyberprzestępców w formie zaszyfrowanej.


Zobacz również