Odkryto trojana przesyłającego hakerowi zrzuty ekranu komputera

Analitycy bezpieczeństwa Doctor Web odkryli nowego trojana, który wysyła na zdalny serwer zrzuty ekranu zrobione na zainfekowanym komputerze, a także jest zdolny do sprawdzania obecności środowiska wirtualnego i programów antywirusowych.

Trojan otrzymał nazwę VBS.BackDoor.DuCk.1. Jest napisany w skryptowej odmianie języka Visual Basic - Visual Basic Script. Cyberprzestępcy rozprowadzają go pod postacią pliku ikony LNK z wbudowanym skryptem VBS. Po kliknięciu skrypt VBS jest wypakowywany, zapisywany jako oddzielny plik i uruchamiany. Na początku skryptu są umieszczone trzy linki: dwa z nich przekierowują użytkownika na serwis YouTube, trzeci prowadzi do serwisu Dropbox. Co ciekawe, jeśli wykryje zainstalowany na komputerze program antywirusowy, nie wykonuje jednego ze swoich skryptów.

Odkryto trojana przesyłającego hakerowi zrzuty ekranu komputera

widok po przekierowaniu (foto: Doctor Web)

Backdoor używa swojej własnej biblioteki w celu wykonywania zrzutów ekranu, które zapisywane są w katalogu tymczasowym jako pliki z rozszerzeniem .tmp. Przez użycie specjalnego pliku rejestru, trojan wyłącza dodatki Microsoft Internet Explorera, a jeśli działa na systemie Vista, wtedy korzysta z innego pliku REG w celu wyłączenia trybu chronionego tej przeglądarki. VBS.BackDoor.DuCk.1 wykonuje komendy pobierania na zainfekowany komputer innych szkodników oraz przesyłanie zrzutów ekranu na zdalny serwer. Potrafi również wykonywać na zainfekowanej maszynie skrypt w języku Python, a efekty jego działania są wysyłane na serwer cyberprzestępców w formie zaszyfrowanej.