Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Nuovo backdoor intercetta dati digitati sulla tastiera

9 settembre 2013

Doctor Web — produttore russo di software per la sicurezza informatica — avvisa della propagazione del malware BackDoor.Saker.1 che può aggirare il controllo degli account degli utenti (UAC) in Windows. Il BackDoor.Saker.1 esegue comandi arrivati dal server remoto e memorizza la sequenza di tasti premuti dall'utente sulla tastiera (keylogging).

Una volta penetrato sul computer bersaglio, il trojan esegue il file temp.exe che serve per aggirare il controllo degli account degli utenti (User Account Control, UAC) nel sistema operativo Windows. Questo file estrae dalle risorse malevole una libreria necessaria per aggirare l'UAC e quindi si incorpora nel processo explorer.exe e la libreria si salva in una delle cartelle di sistema. Quando si avvia l'utility di sistema Sysprep, la libreria lancia l'applicazione malevola ps.exe che il software Dr.Web categorizza come Trojan.MulDrop4.61259. A sua volta, questo file salva in un'altra cartella un'altra libreria e la iscrive nel registro di Windows come un servizio dal nome "Net Security Service" con la seguente descrizione: "keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device". Proprio questa libreria porta il principale payload dannoso del trojan.

screenshot

Dopo un avvio riuscito, il BackDoor.Saker.1 raccoglie e invia ai malintenzionati le informazioni sul computer infetto, quali la versione di Windows, la frequenza del processore, la quantità di RAM fisica, il nome del computer, il nome dell'utente, il numero di serie del disco rigido. Quindi in una delle cartelle di sistema il trojan crea un file in cui registra le sequenze di tasti premuti dall'utente sulla tastiera del computer. Il backdoor attende la risposta del server remoto la quale potrebbe contenere i seguenti comandi: riavviare, spegnere il computer, rimuovere il backdoor, lanciare un thread separato per eseguire un comando tramite shell o per avviare un gestore di file malevolo che può scaricare file dal computer dell'utente, scaricare file attraverso la rete, creare cartelle, rimuovere, spostare ed eseguire file.

Questo malware è stato aggiunto ai database Dr.Web, dunque BackDoor.Saker.1 non rappresenta alcuna minaccia per gli utenti del software antivirus Dr.Web.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A