Специалисты компании «Доктор Веб» исследовали новую вредоносную программу, способную выполнять поступающие от злоумышленников команды и передавать на удаленный сервер сделанные на инфицированном компьютере снимки экрана. Бэкдор обладает механизмами проверки наличия на атакуемом компьютере виртуальной среды и антивирусных программ.

Новый бэкдор угрожает пользователям Windows


Троян, получивший наименование VBS.BackDoor.DuCk.1, написан на языке Visual Basic Script и распространяется в виде файла ярлыка с расширением .lnk, в содержимое которого записан запакованный VBS-сценарий. Троян использует весьма примечательный способ определения адреса управляющего сервера. В начале VBS-сценария предусмотрено три ссылки: две — на страницы видеохостинга YouTube, а еще одна — на страницу облачного сервиса Dropbox.

VBS.BackDoor.DuCk.1 обладает специальным механизмом проверки наличия на атакуемом компьютере виртуальной среды, а также работающих процессов различных приложений для мониторинга операционной системы. Также в самом бэкдоре реализовано выявление на инфицированном компьютере нескольких антивирусных программ (в случае обнаружения таковых троянец не выполняет один из своих сценариев).

В директории текущего пользователя Windows VBS.BackDoor.DuCk.1 создает вложенную папку, которую использует в качестве рабочей. В целях маскировки троянец сохраняет в папке для размещения временных файлов документ vtoroy_doc.doc и демонстрирует его пользователю.

Среди команд VBS.BackDoor.DuCk.1 может выполнить скачивание на инфицированный компьютер другого вредоносного приложения, либо с помощью запроса загрузить снимки экрана на удаленный сервер. Все остальные команды VBS.BackDoor.DuCk.1 передает командному интерпретатору CMD или PowerShell. Также данный бэкдор способен выполнить на зараженной машине Python-сценарий, результаты работы которого в зашифрованном виде передаются на принадлежащий злоумышленникам сервер.