News Uwaga! Nowy trojan atakuje Windowsy

Eksperci do spraw bezpieczeństwa jednej z firm zajmujących się cyberatakami przeanalizowali najnowszy złośliwy program atakujący systemy operacyjne z Redmond. Trojan wysyła na zdalny serwer zrzuty ekranu i sprawdza zainfekowany system pod kątem obecności antywirusów.

Nowoodkryty trojan dostał nazwę VBS.BackDoor.DuCk.1. Napisany jest w języku Visual Basic Script, a dystrybuowany w formie ikony skrótu LNK z wbudowanym skryptem VBS. Gdy ikona skrótu jest kliknięta, skrypt się wypakowuje, zapisuje w formie osobnego pliku i jest uruchamiany.

Skrypt zawiera mechanizm sprawdzania obecności w zarażonym systemie środowisk wirtualnych oraz procesów monitorujących system operacyjny. Rewiduje również system pod kątem obecności oprogramowania antywirusowego. W momencie wykrycia go nie wykonuje części ze swoich skryptów.

Trojan potrafi również wykonywać zrzuty ekranu. W tym celu wykorzystuje własną bibliotekę. Obrazki pulpitu zapisywane są w katalogu roboczym backdoora z rozszerzeniem .tmp. DuCk .1 miesza również w ustawieniach Internet Explorera - potrafi wyłączyć dodatki tej przeglądarki a także dezaktywować jej tryb chroniony. Jak większość Trojanów również i ten włącza własny autostart w systemie.

Prostym sprawdzianem, czy posiadamy tego trojana we własnym Windowsie jest próba znalezienia pliku o nazwie vtoroy_doc.doc. Backdoor tworzy go w folderze użytkownika i w nim zapisuje logi z działania.

VBS.BackDoor.DuCk.1 został opisany przez analityków z Doctor Web i obecnie jest już wykrywany przez tego antywirusa. Kwestią godzin pozostaje dodanie jego sygnatury przez pozostałych twórców.