Рубрики
МЕНЮ
Виталий Войчук
Основное предназначение BackDoor.Andromeda.1407 — выполнение поступающих от злоумышленников директив, в том числе загрузка и установка дополнительных плагинов, а также иного вредоносного ПО, сообщает "3Dnews".
При этом взаимодействие с управляющим сервером бекдор осуществляет с помощью специального зашифрованного ключа, адреса командных узлов также хранятся в теле вредоноса в зашифрованном виде. Передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) с применением метода криптографии.
При запуске в инфицированной системе бекдор проверяет командную строку на наличие ключа "/test" и в случае его обнаружения выводит в консоль сообщение "n Test — OK", а затем завершается. В случае обнаружения любой опасной для себя программы, BackDoor.Andromeda.1407 переходит в бесконечный режим сна.
Затем бекдор считывает серийный номер системного тома жёсткого диска, который требуется для генерации значений различных именованных объектов. Сразу после своего запуска зловред путём инжекта пытается перебраться в новый процесс, а исходный — завершить.
Это позволяет ему попутно собирать различные сведения об инфицированной машине, включая разрядность и версию ОС, права текущего пользователя и настроенные на атакованном компьютере раскладки клавиатуры. И тут начинается самое интересное: если BackDoor.Andromeda.1407 обнаруживает в Windows наличие русской, украинской, белорусской или казахской раскладок, он завершается и сам удаляется из системы.
Фото: "3Dnews".
Новости партнеров
Новости