Одним из свидетельств того, что авторами бэкдора могут быть хакеры из Турции, является всплывающее уведомление на турецком языке.
ИБ-экспертам из «Доктор Веб» удалось обнаружит бэкдор, написанный, судя по всему, турецкими хакерами. Согласно данным специалистов, в структуре вредоноса под названием BackDoor.Zetbo.1 есть несколько строк, позволяющих ему выполнять различные действия.
Проведя анализ, компания установила, что бэктор устанавливается на системе жертвы, выдавая себя за службу Windows Power Management (winpwrmng). При этом у программы имеется описание: «Позволяет пользователям управлять Power Options».
Само вредоносное ПО сохраняется на диск в виде исполняемого файла с именем taskmgr.exe. Все задействуемые файлы хранятся в папке %APPDATA%\Roaming\.
Одним из свидетельств того, что авторами бэкдора могут быть хакеры из Турции, является всплывающее уведомление на турецком языке, которое в переводе значит: «rundll не может открыть этот файл. Файл слишком большой».
После запуска на инфицированной системе программа сканирует ее на наличие установленного бэкдора BackDoor.Zetbo.1. В случае его отсутствия ПО инициирует его запуск.
По утверждениям специалистов, получая соответствующие команды от C&C-сервера, программа способна удалять файлы, устанавливать свои обновления, проверять наличие на диске собственных компонентов и пр. Кроме того, злоумышленники могут использовать бэкдор для передачи данных о системе жертвы.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках