PER UTENTI

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Ricerca
Ricerca

Supporto
Supporto 24/7 | Regole per contattare

Scrivi

Una richiesta attraverso il modulo

Chiama

+7 (495) 789-45-86

Forum

Richieste

Crea nuova richiesta

Chiama

+7 (495) 789-45-86

Profile

IT

RU CN DE EN ES FR IT JP KZ UZ PL BY
Chiudi
News

Notizie per argomento

Notizie sui virus
"Mondo antivirus!"
Ticker
Ufficio stampa

Torna alla lista delle notizie

Nuovo backdoor intercetta dati digitati sulla tastiera

9 settembre 2013

Doctor Web — produttore russo di software per la sicurezza informatica — avvisa della propagazione del malware BackDoor.Saker.1 che può aggirare il controllo degli account degli utenti (UAC) in Windows. Il BackDoor.Saker.1 esegue comandi arrivati dal server remoto e memorizza la sequenza di tasti premuti dall'utente sulla tastiera (keylogging).

Una volta penetrato sul computer bersaglio, il trojan esegue il file temp.exe che serve per aggirare il controllo degli account degli utenti (User Account Control, UAC) nel sistema operativo Windows. Questo file estrae dalle risorse malevole una libreria necessaria per aggirare l'UAC e quindi si incorpora nel processo explorer.exe e la libreria si salva in una delle cartelle di sistema. Quando si avvia l'utility di sistema Sysprep, la libreria lancia l'applicazione malevola ps.exe che il software Dr.Web categorizza come Trojan.MulDrop4.61259. A sua volta, questo file salva in un'altra cartella un'altra libreria e la iscrive nel registro di Windows come un servizio dal nome "Net Security Service" con la seguente descrizione: "keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device". Proprio questa libreria porta il principale payload dannoso del trojan.

screenshot

Dopo un avvio riuscito, il BackDoor.Saker.1 raccoglie e invia ai malintenzionati le informazioni sul computer infetto, quali la versione di Windows, la frequenza del processore, la quantità di RAM fisica, il nome del computer, il nome dell'utente, il numero di serie del disco rigido. Quindi in una delle cartelle di sistema il trojan crea un file in cui registra le sequenze di tasti premuti dall'utente sulla tastiera del computer. Il backdoor attende la risposta del server remoto la quale potrebbe contenere i seguenti comandi: riavviare, spegnere il computer, rimuovere il backdoor, lanciare un thread separato per eseguire un comando tramite shell o per avviare un gestore di file malevolo che può scaricare file dal computer dell'utente, scaricare file attraverso la rete, creare cartelle, rimuovere, spostare ed eseguire file.

Questo malware è stato aggiunto ai database Dr.Web, dunque BackDoor.Saker.1 non rappresenta alcuna minaccia per gli utenti del software antivirus Dr.Web.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti