24.08.2012 НовостиКомпания «Доктор Веб» предупредила о распространении вредоносной программы BackDoor.IRC.Codex.1, способной запускать на инфицированной машине загруженные из Интернета файлы, участвовать в DDoS-атаках и красть пароли от популярных FTP-клиентов и данные Web-форм. Троянец функционально похож на другую популярную вредоносную программу, BackDoor.IRC.Aryan.1, заразившую большое число компьютеров по всему миру. Как и предшественники, BackDoor.IRC.Codex.1 использует для координации своих действий протокол IRC (Internet Relay Chat) для обмена сообщениями в режиме реального времени. Запустившись на компьютере жертвы, троянец ищет в памяти и удаляет процесс командного интерпретатора Windows (cmd.exe), после чего сохраняет свою копию в одной из папок и модифицирует реестр Windows, прописывая путь к месту расположения исполняемого файла в ветвь, отвечающую за автоматическую загрузку приложений. При этом BackDoor.IRC.Codex.1 постоянно следит за состоянием этой ветви реестра и восстанавливает необходимые значения в случае их удаления. После запуска программа BackDoor.IRC.Codex.1 выполняет ряд манипуляций, направленных на противодействие ее анализу: троянец ищет в памяти инфицированного компьютера процессы некоторых отладчиков, а также определяет, не запущен ли он в виртуальной машине. Также троянец проверяет наличие себя в ОС, сравнивая папку, из которой он был запущен, с директорией, в которую он сохраняет собственную копию. Затем BackDoor.IRC.Codex.1 встраивает собственную ...
читать далее.