23 marzo 2015

Gli specialisti Doctor Web hanno studiato un trojan-backdoor pericoloso capace di infettare computer Microsoft Windows. Il programma malevolo, denominato BackDoor.Yebot, può eseguire sulla macchina infetta una vasta gamma di azioni distruttive, in particolare, può avviare un server proxy FTP, cercare diverse informazioni su comando dei malintenzionati, registrare sequenze di tasti premuti sulla tastiera, trasmettere schermate sul server remoto ed altre ancora.

Il trojan BackDoor.Yebot si diffonde con utilizzo di un altro programma malevolo, aggiunto ai database dei virus Dr.Web sotto il nome del Trojan.Siggen6.31836. Una volta avviato sul computer attaccato, quest'applicazione pericolosa incorpora il proprio codice nei processi svchost.exe, csrss.exe, lsass.exe e explorer.exe, invia sul server remoto una richiesta di download, dopodiché scarica e decifra il trojan BackDoor.Yebot, lo configura nella memoria del computer e passa il controllo ad esso. Il Trojan.Siggen6.31836 è particolare in quanto una parte delle sue funzioni è cifrata (e viene decifrata soltanto al momento dell'esecuzione, per cui il trojan alloca la memoria che viene liberata automaticamente dopo l'esecuzione del codice della funzione). Inoltre, questo programma malevolo ha i metodi per controllare la presenza di macchina virtuale nel sistema sotto attacco e per aggirare il sistema di controllo degli account utente (User Accounts Control, UAC).

Il BackDoor.Yebot può eseguire le seguenti funzioni:

• avviare un server FTP sul computer infetto;
• avviare un server proxy Socks5 sul computer infetto;
• modificare il protocollo RDP per assicurare l'accesso remoto al computer infetto;
• registrare sequenze di tasti premuti dall'utente (keylogging);
• possibilità di stabilire una connessione backconnect con il PC per FTP, RDP e Socks5 se la rete utilizza NAT;
• intercettare dati sulla base dei pattern PCRE (Perl Compatible Regular Expressions) — una libreria che implementa il funzionamento delle espressioni regolari in Perl — per cui il trojan intercetta tutte le funzioni possibili concernenti l'utilizzo di Internet;
• intercettare token SCard;
• incorporare contenuti estranei in pagine web che vengono aperte dall'utente (web inject);
• intercettare varie funzioni di sistema a seconda del file di configurazione accettato;
• modificare il codice di un processo in esecuzione a seconda del file di configurazione accettato;
• interagire con diversi moduli di funzioni (plugin);
• catturare schermate;
• cercare chiavi private nel sistema compromesso.

Per lo scambio dei dati con il server di controllo, il BackDoor.Yebot utilizza sia il protocollo HTTP standard che il proprio protocollo binario. Il server di gestione del trojan ha impostazioni difensive: per esempio, potrebbe inserire nella black list un indirizzo IP se da esso è arrivata una richiesta non valida oppure se da un indirizzo IP è arrivato un numero troppo grande di richieste.

Gli specialisti Doctor Web suppongono che il BackDoor.Yebot possa essere utilizzato dai malfattori anche come un trojan di attacco a conti bancari: è universale grazie all'ampia gamma di funzioni e alla capacità di interagire con moduli addizionali. Le firme antivirali del BackDoor.Yebot e del Trojan.Siggen6.31836 sono state aggiunte ai database dei virus, dunque questi programmi malevoli non rappresentano pericolo per gli utenti dei prodotti antivirus Dr.Web.