17.04.2015 Новости, БезопасностьПо сообщению компании «Доктор Web», ее специалисты исследовали новую вредоносную программу, способную выполнять поступающие от злоумышленников команды и передавать на удаленный сервер сделанные на инфицированном компьютере снимки экрана. Бэкдор обладает механизмами проверки наличия на атакуемом компьютере виртуальной среды и антивирусных программ. Троянец, получивший наименование VBS.BackDoor.DuCk.1, написан на языке Visual Basic и распространяется в виде файла ярлыка с расширением .lnk, в содержимое которого записан запакованный VBS-сценарий. При открытии ярлыка VBS-скрипт извлекается и сохраняется в виде отдельного файла, после чего он запускается. Троянец VBS.BackDoor.DuCk.1 использует необычный способ определения адреса управляющего сервера. В начале VBS-сценария предусмотрено три ссылки: две на страницы видеохостинга YouTube, а еще одна – на страницу сервиса Dropbox. Троянец отправляет на эти ресурсы GET-запрос и в поступившем ответе выполняет поиск с заданным регулярным выражением our (.*)th psy anniversary. Полученное в результате поиска значение делится на 31337 — итог этой математической операции представляет собой число, которое после перевода в шестнадцатеричную форму соответствует значению IP-адреса управляющего сервера. Для проверки его работоспособности троянец отправляет по указанному адресу специальный GET-запрос и проверяет в ответе наличие строки «ОКОКОК». VBS.BackDoor.DuCk.1 имеет механизм проверки наличия на атакуемом ...
читать далее.