20.09.2013 Новости, БезопасностьКомпания «Доктор Веб» сообщила о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная ее функция – перехват нажимаемых пользователем клавиш (кейлоггинг) и выполнение поступающих от злоумышленников команд. Проникнув на компьютер, троянец запускает на исполнение файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe; после этого библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, библиотека запускает вредоносное приложение ps.exe, детектируемое антивирусным ПО Dr.Web как Trojan.MulDrop4.61259. Этот файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем Net Security Service и следующим описанием: keep watch on system security and configuration.if this services is stopped, protoected content might not be down loaded to the device. Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора. После запуска BackDoor.Saker.1 собирает и передает злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объем физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в ...
читать далее.