Backdoor.Sinowal.Win32.16134
Backdoor.Sinowal.Win32.16134 - Вредоносная программа ворующая логины и пароли. Данный Baсkdoor имеет функциональность RootKit, из-за чего его поиск и лечение сильно осложняются. Представляет собой исполняемый файл Windows PE (EXE), рразмер вредоносного программного обеспечения - ~107 Кбайт, написан на Microsoft Visukl C++ 7.0.
Методы распространения
распространяется через:
- файлообменные Web-сайты и социальные сети, где он замаскирован под какие-нибудь полезные программы, взломщики программ, генераторы серийных кодов и ключей, и т.п. Чем побуждает пользователя скачать его и запустить у себя на компьютере.
- уязвимость Adobe PDF , которая позволяет автоматически выполнится скрипту ( java script) находящемуся внутри PDF файла. После запуска скрипт скачивает из сети Интернет и запускает на выполнение основное тело Backdoor.
- уязвимости в браузерах, которые позволяют выполниться произвольному коду, который в свою очередь осуществляет загрузку и запуск данного Baсkdoor.
Внедрение в систему
После запуска, Backdoor изменяет MBR жесткого диска, записывая туда свой загрузчик, который при запуске компьютера подгружает основное тело вируса, находящееся в последних сектора диска. Таким образом, вредоносное программное обеспечение загружается раньше операционной системы, что дает ему большие преимущества.
Для сокрытия своего присутствия в системе, Backdoor перехватывает доступ к диску на уровне обработчика запросов ввода/вывода. Из-за чего антивирусные программы не могут обнаружить присутствие BackDoor в системе.
Функциональные действия
Внедряет часть своего кода в память системных процессов и перехватывает вводимые логины и пароли, а также ключи шифрования. После чего отправляет собранные данные злоумышленникам на один из серверов, имя которого генерируется внутренним алгоритмом BackDoor.
рекомендации по лечению
Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.
