Livejournal Facebook Twitter

Очередной NgrBot

Сегодня попался забавный троянчик, который был занесен в антивирусные базы под именем BackDoor.IRC.NgrBot.251. В общем-то, обычный NgrBot – получает инструкции через чат-канал IRC, качает на инфицированную машину всякое, шлет спам. Ничего особенного. Подобных троянцев известно много, да и перепаковываются они по нескольку раз в сутки для сбития сигнатурного детекта.

Одной из примечательных особенностей данной троянской программы является возможность использования ею нескольких различных путей распространения. Первый из них — массовая рассылка в программе Skypeсообщений, содержащих гиперссылку на графический файл в формате JPEG. В случае перехода по ссылке на компьютер жертвы скачивается примитивный троянец-загрузчик, который, в свою очередь, устанавливает в инфицированную систему BackDoor.IRC.NgrBot.251. Сам BackDoor.IRC.NgrBot.251обладает функционалом, позволяющим массово отправлять подобные сообщения по каналам электронной почты. Текст таких сообщений неплохо видно в окне Hiew:

BackDoor.IRC.NgrBot.251

Второй способ распространения можно назвать более традиционным: троянец инфицирует все подключенные к компьютеру съемные носители, размещая в их корневой директории собственный исполняемый файл. После этого BackDoor.IRC.NgrBot.251 скрывает папки на зараженном устройстве и создает вместо них ярлыки с соответствующими именами, ссылающиеся на исполняемый файл троянской программы. Таким образом, при попытке открытия любой директории на зараженном устройстве пользователь запускает вредоносное приложение. Помимо этого троянец может разместить в корневой папке файл autorun.inf, с использованием которого осуществляется автоматический запуск вредоносной программы при подключении к компьютеру съемного накопителя.

Обладает BackDoor.IRC.NgrBot.251и примитивной системой самозащиты: троянец автоматически завершает работу, если ему удается определить, что он запущен в среде VMWare, QEmu, VirtualBox или Sandboxie. Кроме того, данная вредоносная программа имеет функционал для обхода стандартного брандмауэра Windows.

В процессе установки в операционную системуBackDoor.IRC.NgrBot.251создает в папке учетной записи пользователя Windows подпапку, в которую помещает собственную копию с именем winsvc.exe. Затем троянец вносит изменения в ветвь системного реестра, отвечающую за автоматический запуск приложений, регистрируя данный файл под именем «Microsoft Windows Update», после чего запускает его.

Даная вредоносная программа поддерживает связь с удаленным управляющим сервером по протоколу IRC (InternetRelayChat), может загружать cпринадлежащих злоумышленникам серверов и запускать на инфицированном компьютере исполняемые файлы. Имеет функцию самоудаления. Помимо этого, с целью самораспространения троянец способен рассылать по электронной почте сообщения различного содержания.

В общем, не переходите по ссылкам, полученным в Skypeили по электронной почте из неблагонадежных источников. И осторожнее с флешками :).

 

 

Поиск

Энциклопедия Windows - Winpedia.ru Русское сообщество пользователей Android Дистанционное обучение нового поколения

Верстка, контент, дизайн © 2000 - 2017, Валентин Холмогоров.