11.05.2016, 21:12
Backdoory są zazwyczaj projektowane do wykonywania na zainfekowanej maszynie poleceń cyberprzestępców. Z reguły są używane do uzyskania zdalnego dostępu do prywatnych informacji użytkownika. Analitycy bezpieczeństwa Doctor Web wykryli ostatnio kolejnego reprezentanta wymienionej kategorii — wirusa BackDoor.Apper.1.
Trojan jest dystrybuowany z użyciem programu typu dropper w formie pliku Microsoft Excel zawierającego specjalne makra. Te makra zbierają bajt po bajcie samorozpakowujące się archiwum i uruchamiają je. Archiwum zawiera plik wykonywalny, posiadający ważny podpis cyfrowy zarejestrowany dla firmy Symantec i bibliotekę dynamiczną, w której zaimplementowano wszystkie główne funkcje trojana. BackDoor.Apper.1 rejestruje ten plik wykonywalny w usłudze autorun, który z kolei po uruchomieniu ładuje złośliwą bibliotekę do pamięci zainfekowanego komputera.
![[Obrazek: backdoor_apper_1.1.png]](https://st.drweb.com/static/new-www/news/2016/may/backdoor_apper_1.1.png)
BackDoor.Apper.1 został zaprojektowany głownie do wykradania plików z zainfekowanej maszyny. Gdy złośliwa aplikacja zostanie zarejestrowana w usłudze autorun, trojan usuwa swój oryginalny plik.
Po uruchomieniu BackDoor.Apper.1 działa jako keylogger — przechwytuje naciśnięcia klawiszy i zapisuje je w zaszyfrowanym pliku. Dodatkowo trojan potrafi monitorować system plików komputera. Jeśli komputer posiada plik konfiguracyjny zawierający ścieżki do folderów których status jest monitorowany przez trojana, BackDoor.Apper.1 loguje wszystkie zmiany w tych folderach i wysyła je na serwer.
Przed połączeniem się z serwerem, backdoor zbiera następujące dane o zainfekowanym komputerze: jego nazwę, wersję systemu operacyjnego i informacje o procesorze, pamięci RAM i napędach. Te informacje są następnie przesyłane na serwer. Potem trojan pozyskuje bardziej szczegółowe dane o napędach komputera, które są wysyłane do cyberprzestępców razem z plikiem keloggera. Następnie BackDoor.Apper.1 oczekuje na polecenia z serwera.
Aby odebrać instrukcje, trojan wysyła na serwer specjalne żądanie. Po otrzymaniu komendy, malware potrafi wysyłać konkretny plik lub informację o określonym folderze, usunąć plik lub zmienić jego nazwę, stworzyć nowy folder, oraz wykonać zrzut ekranu i wysłać go do agresorów.
Źródło: Dr. Web
Trojan jest dystrybuowany z użyciem programu typu dropper w formie pliku Microsoft Excel zawierającego specjalne makra. Te makra zbierają bajt po bajcie samorozpakowujące się archiwum i uruchamiają je. Archiwum zawiera plik wykonywalny, posiadający ważny podpis cyfrowy zarejestrowany dla firmy Symantec i bibliotekę dynamiczną, w której zaimplementowano wszystkie główne funkcje trojana. BackDoor.Apper.1 rejestruje ten plik wykonywalny w usłudze autorun, który z kolei po uruchomieniu ładuje złośliwą bibliotekę do pamięci zainfekowanego komputera.
BackDoor.Apper.1 został zaprojektowany głownie do wykradania plików z zainfekowanej maszyny. Gdy złośliwa aplikacja zostanie zarejestrowana w usłudze autorun, trojan usuwa swój oryginalny plik.
Po uruchomieniu BackDoor.Apper.1 działa jako keylogger — przechwytuje naciśnięcia klawiszy i zapisuje je w zaszyfrowanym pliku. Dodatkowo trojan potrafi monitorować system plików komputera. Jeśli komputer posiada plik konfiguracyjny zawierający ścieżki do folderów których status jest monitorowany przez trojana, BackDoor.Apper.1 loguje wszystkie zmiany w tych folderach i wysyła je na serwer.
Przed połączeniem się z serwerem, backdoor zbiera następujące dane o zainfekowanym komputerze: jego nazwę, wersję systemu operacyjnego i informacje o procesorze, pamięci RAM i napędach. Te informacje są następnie przesyłane na serwer. Potem trojan pozyskuje bardziej szczegółowe dane o napędach komputera, które są wysyłane do cyberprzestępców razem z plikiem keloggera. Następnie BackDoor.Apper.1 oczekuje na polecenia z serwera.
Aby odebrać instrukcje, trojan wysyła na serwer specjalne żądanie. Po otrzymaniu komendy, malware potrafi wysyłać konkretny plik lub informację o określonym folderze, usunąć plik lub zmienić jego nazwę, stworzyć nowy folder, oraz wykonać zrzut ekranu i wysłać go do agresorów.
Źródło: Dr. Web