Обнаружен IRC-бот с продвинутой функцией анализа запущенных процессов

26/05/2012 12:48

Специалисты «Доктор Веб» в очередной раз информируют пользователей о появление в сети Интернет нового экземпляра IRC-бота под именем Backdoor.IRC.IMBot.2. Как и другие представители данного семейства, этот бот используется для рассылки спама в сетях мгновенного обмена сообщениями (MSN Messenger, AOL Instant Messenger, Yahoo! Messenger), загружает на инфицированный компьютер и запускает исполняемые файлы, а также осуществляет по команде с управляющего сервера DDoS-атаки. Распространяется этот зловред через сменные носители под именем "usb_driver.com", а инфицирование системы происходит через систему автозапуска сменных носителей. Управление ботом реализовано через протокол IRC. С точки зрения описанной функциональности, BackDoor.IRC.IMBot.2 можно было бы назвать типичным представителем данного семейства, если бы не одно отличие. Запускаясь в инфицированной системе, BackDoor.IRC.IMBot.2 сохраняет себя в папку установки Windows и вносит соответствующие изменения в ветвь системного реестра, отвечающую за автозапуск приложений. Также BackDoor.IRC.IMBot.2 изменяет настройки брандмауэра Windows, для того чтобы обеспечить себе соединение с Интернетом. Наиболее интересной чертой данного бота является встроенный в него своеобразный механизм поиска процессов с именами "dumpcap", "SandboxStarter", "tcpview", "procmon", "filemon". Будучи запущенным на компьютере жертвы, Backdoor.IRC.IMBot.2 обращается к разделу системного реестра "HKEY_PERFORMANCE_DATA", отвечающего за мониторинг производительности ПК, и ищет с помощью размещающихся в данном разделе счетчиков запущенные в операционной системе процессы. Данный алгоритм интересен тем, что ранее он не встречался в других вредоносных программах подобного типа. В целях обеспечения защиты системы от этого трояна, рекомендуется отключить функцию автоматического запуска сменных носителей и, по возможности, использовать современное антивирусное ПО.
Источник