Обнаружен троян, который самоуничтожается в России

Безопасность Администратору Пользователю
мобильная версия
, Текст: Сергей Попсулин

«Доктор Веб» сообщила об обнаружении трояна, который самоликвидируется на компьютере жертвы, если обнаруживает русскую, украинскую, белорусскую или казахскую раскладку клавиатуры. 


Троян с геотаргетингом 

Эксперты компании «Доктор Веб» обнаружили троян, который автоматически завершает свою работу и удаляется из системы в случае обнаружения русской, украинской, белорусской или казахской раскладки клавиатуры. 

«Скорее всего, это связано с какими-то маркетинговыми целями вирусописателей, например, можно предположить, что в СНГ они распространяют другую версию троянца», — прокомментировал CNews аналитик «Доктора Веба» Павел Шалин.

Новый троян получил название BackDoor.Andromeda.1407. И его основное предназначение заключается в выполнении поступающих от злоумышленников команд, в том числе скачивания и установки иного вредоносного ПО, рассказали эксперты. 

В настоящий момент аналитикам «Доктора Веба» известно о том, что троян загружает и запускает на инфицированных компьютерах такие вредоносные приложения, как троян-шифровальщик Trojan.Encoder.3905, банковский троян Trojan.PWS.Panda.2401, трояны Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 и др.

Заражение Windows

BackDoor.Andromeda.1407 заражает компьютеры с операционными системами Windows, причем, в зависимости от версии, ведет себя различно.


Новый троян самоликвидируется на ПК с русскими раскладками

В Windows 8 и более новых троян продолжает работу с текущими привилегиями пользователя, тогда как в Windows 7 он пытается повысить права с использованием одного из широко известных способов. В компании не уточнили, что это за способ.

Скрытие присутствия 

При попадании в систему троян отключает отображение скрытых файлов, а затем обращается по очереди к нескольким системным папкам и папкам профиля текущего пользователя, пытаясь определить, какая из них открыта на запись. При обнаружении такой папки в нее копируется файл трояна со случайным именем, а затем этому исполняемому файлу присваиваются атрибуты «системный» и «скрытый», чтобы спрятать его от пользователя.

При запуске троян проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test - OK», а затем завершается. «Вероятно, эта функция была предусмотрена вирусописателями для тестирования работы различных программных упаковщиков.

Защита от опасных программ

После этого троян пытается определить, не запущены ли на компьютере виртуальные машины, приложения для мониторинга процессов или отслеживания обращений к системному реестру, а также некоторые другие программы-отладчики. Обнаружив любую опасную для себя программу, троян переходит в бесконечный режим сна, рассказали в «Докторе Вебе». 

Связь с управляющим сервером

Взаимодействие с управляющим сервером троян осуществляет с помощью специального зашифрованного ключа, при этом адреса командных узлов тоже хранятся в теле трояна зашифрованными. Чтобы узнать IP-адрес инфицированного компьютера, BackDoor.Andromeda.1407 обращается к серверам microsoft.com, update.microsoft.com, bing.com, google.com и yahoo.com, а передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) в зашифрованном виде. 

«Именно так бэкдор может получать от злоумышленников различные управляющие директивы, среди которых — команды на загрузку дополнительных плагинов, загрузку и запуск исполняемых файлов, самообновление троянца, удаление всех плагинов из зараженной системы или деинсталляцию самой вредоносной программы», — пояснили эксперты.