Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web ha esaminato un backdoor scritto in Python

16 ottobre 2017

Per backdoor si intende un programma malevolo capace di eseguire comandi impartiti dagli hacker e di fornire loro la possibilità di gestione non autorizzata del dispositivo infetto. Gli analisti Doctor Web hanno esaminato un nuovo backdoor, la cui peculiarità risiede nel fatto che esso è scritto nel linguaggio Python.

Questo programma malevolo è stato aggiunto ai database dei virus Dr.Web sotto il nome di Python.BackDoor.33. All'interno del file del trojan è memorizzata l'utility py2exe impacchettata che permette agli script in Python di avviarsi in Windows come soliti file eseguibili. Le funzioni principali del malware sono implementate nel file mscore.rus.

Python.BackDoor.33 salva una sua copia in una delle cartelle su disco; per garantire il proprio avvio, modifica il registro di sistema di Windows e completa l'esecuzione del relativo script. Pertanto, le principali funzioni malevole del backdoor vengono eseguite dopo un riavvio del sistema.

Dopo il riavvio il trojan cerca di infettare tutti i supporti connessi al dispositivo con i nomi dalla C alla Z. Per farlo, crea una cartella nascosta, ci salva una copia del suo file eseguibile (anche esso con l'attributo "nascosto"), dopodiché nella cartella radice del disco crea un collegamento del tipo .lnk il quale conduce sul file eseguibile malevolo. Tutti i file diversi da .lnk, VolumeInformation.exe e .vbs vengono trasferiti nella cartella nascosta precedentemente creata.

Quindi il trojan cerca di determinare l'indirizzo IP e la porta disponibile di un server di controllo, invia una richiesta su diversi server in Internet, tra cui pastebin.com, docs.google.com e notes.io. Il valore ottenuto si presenta come segue:

screenshot Python.BackDoor.33 #drweb

Se il backdoor è riuscito a ottenere un indirizzo IP e una porta, invia sul server di controllo una richiesta specifica. Se il trojan riceve una risposta, scarica dal server di controllo e avvia sul dispositivo infetto uno script in Python, che è stato aggiunto ai database dei virus Dr.Web come Python.BackDoor.35. In questo script sono implementate le funzioni di furto delle password (password stealer), di intercettazione delle battiture sulla tastiera (keylogger) e di esecuzione dei comandi in remoto (backdoor). Inoltre, questo trojan è in grado di controllare i supporti di informazione connessi al dispositivo compromesso e di infettarli in modo simile. In particolare, Python.BackDoor.35 consente ai malintenzionati di:

  • rubare informazioni dai browser Chrome, Opera, Yandex, Amigo, Torch, Spark;
  • registrare le battiture sulla tastiera e catturare schermate;
  • scaricare moduli aggiuntivi scritti in Python ed eseguirli;
  • scaricare file e salvarli su un supporto del dispositivo infetto;
  • ottenere i contenuti di una cartella indicata;
  • spostarsi tra le cartelle;
  • richiedere informazioni sul sistema.

Oltre alle altre cose, nella struttura di Python.BackDoor.35 è prevista una funzione di aggiornamento autonomo, però al momento non è attiva. Le firme antivirali dei programmi malevoli sopracitati sono state aggiunte ai database dei virus Dr.Web e dunque non rappresentano alcun rischio per i nostri utenti.

Oltre alle altre cose, nella struttura di Python.BackDoor.35 è prevista una funzione di aggiornamento autonomo, però al momento non è attiva. Le firme antivirali dei programmi malevoli sopracitati sono state aggiunte ai database dei virus Dr.Web e dunque non rappresentano alcun rischio per i nostri utenti.

#backdoor #backdoor #programmi malevoli #trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A