Menu

Троянцу Butirat додали живучості

Компанія «Доктор Веб» попереджає про широке поширення нової шкідливої програми сімейства BackDoor.Butirat. Чергова модифікація цієї відомої загрози, отримала найменування BackDoor.Butirat.245, використовує принципово новий механізм, що дозволяє троянцу генерувати імена керівників серверів зловмисників. Швидше за все, це робиться для того, щоб підвищити «живучість» шкідливої програми при відключенні одного з керівників центрів.

Троянці-бекдори сімейства BackDoor.Butirat здатні завантажувати на комп'ютер інфікований і запускати на ньому виконувані файли по команді з керуючого сервера, а також красти паролі від популярних FTP-клієнтів (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP та ін.).

Троянцу Butirat добавили живучести

Принцип, який використовується даними троянцем для зараження комп'ютера жертви, також не відрізняється оригінальністю: BackDoor.Butirat створює свою копію в одній із системних папок і вносить зміни у реєстр, з тим, щоб при завантаженні Windows здійснювався його автоматичний запуск.

Відмітною особливістю модифікації BackDoor.Butirat.245 є принципово новий механізм, що дозволяє троянцу генерувати імена керівників серверів, у той час як у попередніх версіях адреса командного центру був жорстко прописаний в самій шкідливою програмою. Як і у випадку з нещодавно доданими до бази новими модифікаціями шкідливої програми BackDoor.BlackEnergy, при дослідженні BackDoor.Butirat.245 фахівців «Доктор Веб» чекав сюрприз: троян автоматично генерує імена керівників доменів третього рівня. В той же час відповідний домен другого рівня з нами з добре відомою компанією, традиційно ігнорує будь-які повідомлення та скарги. Ймовірно, створювачі вважали, що зможуть таким способом підвищити «живучість» шкідливої програми у разі відключення одного з керівників центрів.

|