16.04.2015, 04:58
Eksperci do spraw bezpieczeństwa jednej z firm zajmujących się cyberatakami przeanalizowali najnowszy złośliwy program atakujący systemy operacyjne z Redmond. Trojan wysyła na zdalny serwer zrzuty ekranu i sprawdza zainfekowany system pod kątem obecności antywirusów.
![[Obrazek: virus_z.jpg]](http://www.komputerswiat.pl/media/2015/90/3826653/virus_z.jpg)
Nowoodkryty trojan dostał nazwę VBS.BackDoor.DuCk.1. Napisany jest w języku Visual Basic Script, a dystrybuowany w formie ikony skrótu LNK z wbudowanym skryptem VBS. Gdy ikona skrótu jest kliknięta, skrypt się wypakowuje, zapisuje w formie osobnego pliku i jest uruchamiany.
Skrypt zawiera mechanizm sprawdzania obecności w zarażonym systemie środowisk wirtualnych oraz procesów monitorujących system operacyjny. Rewiduje również system pod kątem obecności oprogramowania antywirusowego. W momencie wykrycia go nie wykonuje części ze swoich skryptów.
Trojan potrafi również wykonywać zrzuty ekranu. W tym celu wykorzystuje własną bibliotekę. Obrazki pulpitu zapisywane są w katalogu roboczym backdoora z rozszerzeniem .tmp. DuCk .1 miesza również w ustawieniach Internet Explorera - potrafi wyłączyć dodatki tej przeglądarki a także dezaktywować jej tryb chroniony. Jak większość Trojanów również i ten włącza własny autostart w systemie.
Prostym sprawdzianem, czy posiadamy tego trojana we własnym Windowsie jest próba znalezienia pliku o nazwie vtoroy_doc.doc. Backdoor tworzy go w folderze użytkownika i w nim zapisuje logi z działania.
VBS.BackDoor.DuCk.1 został opisany przez analityków z Doctor Web i obecnie jest już wykrywany przez tego antywirusa. Kwestią godzin pozostaje dodanie jego sygnatury przez pozostałych twórców.
Nowoodkryty trojan dostał nazwę VBS.BackDoor.DuCk.1. Napisany jest w języku Visual Basic Script, a dystrybuowany w formie ikony skrótu LNK z wbudowanym skryptem VBS. Gdy ikona skrótu jest kliknięta, skrypt się wypakowuje, zapisuje w formie osobnego pliku i jest uruchamiany.
Skrypt zawiera mechanizm sprawdzania obecności w zarażonym systemie środowisk wirtualnych oraz procesów monitorujących system operacyjny. Rewiduje również system pod kątem obecności oprogramowania antywirusowego. W momencie wykrycia go nie wykonuje części ze swoich skryptów.
Trojan potrafi również wykonywać zrzuty ekranu. W tym celu wykorzystuje własną bibliotekę. Obrazki pulpitu zapisywane są w katalogu roboczym backdoora z rozszerzeniem .tmp. DuCk .1 miesza również w ustawieniach Internet Explorera - potrafi wyłączyć dodatki tej przeglądarki a także dezaktywować jej tryb chroniony. Jak większość Trojanów również i ten włącza własny autostart w systemie.
Prostym sprawdzianem, czy posiadamy tego trojana we własnym Windowsie jest próba znalezienia pliku o nazwie vtoroy_doc.doc. Backdoor tworzy go w folderze użytkownika i w nim zapisuje logi z działania.
VBS.BackDoor.DuCk.1 został opisany przez analityków z Doctor Web i obecnie jest już wykrywany przez tego antywirusa. Kwestią godzin pozostaje dodanie jego sygnatury przez pozostałych twórców.
![[Obrazek: antywirusy_p.jpg]](http://www.komputerswiat.pl/media/2015/90/3826658/antywirusy_p.jpg)
Źródło: Doctor Web, fot.: 123rf.com, za: Kś.pl