Компания «Доктор Веб» предупреждает о широком распространении новой
вредоносной программы семейства BackDoor.Butirat. Очередная модификация
этой известной угрозы, получившая наименование BackDoor.Butirat.245,
использует принципиально новый механизм, позволяющий троянцу
генерировать имена управляющих серверов злоумышленников. Скорее всего,
это делается для того, чтобы повысить «живучесть» вредоносной программы
при отключении одного из управляющих центров.
Троянцы-бэкдоры
семейства BackDoor.Butirat способны загружать на инфицированный
компьютер и запускать на нем исполняемые файлы по команде с управляющего
сервера, а также красть пароли от популярных FTP-клиентов (FlashFXP,
Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP и др.).
Принцип,
используемый данным троянцем для заражения компьютера жертвы, также не
отличается оригинальностью: BackDoor.Butirat создает свою копию в одной
из системных папок и вносит изменения в реестр, с тем чтобы при загрузке
Windows осуществлялся его автоматический запуск.
Отличительной
особенностью модификации BackDoor.Butirat.245 является принципиально
новый механизм, позволяющий троянцу генерировать имена управляющих
серверов, в то время как в предыдущих версиях адрес командного центра
был жестко прописан в самой вредоносной программе. Как и в случае с
недавно добавленными в базы новыми модификациями вредоносной программы
BackDoor.BlackEnergy, при исследовании BackDoor.Butirat.245 специалистов
«Доктор Веб» ждал сюрприз: троянец автоматически генерирует имена
управляющих доменов третьего уровня. В то же время соответствующий домен
второго уровня зарегистрирован хорошо известной компанией, традиционно
игнорирующей любые сообщения и жалобы. Вероятно, вирусописатели
полагали, что смогут таким способом повысить «живучесть» вредоносной
программы в случае отключения одного из управляющих центров.
|
Главная 
