Специалисты «Доктор Веб» обнаружили троянскую программу, которая автоматически деинсталлируется из системы при обнаружении, что компьютер использует казахскую, белорусскую, украинскую или русскую раскладку клавиатуры.
Вирус BackDoor.Andromeda.1407
Аналитики компании предположили, что данная особенность может быть связана с определенными маркетинговыми целями создателей вируса. Например, пользователей стран СНГ они атакуют другой версий троянской программы. Новый вирус занесен в базы как BackDoor.Andromeda.1407
Для чего создали вирус
Главное назначение утилиты – выполнение внешних команд. Кроме прочего, вредоносное приложение способно загружать и инсталлировать другое вредоносное ПО. В настоящее время известно, что вирус запускает и активирует на атакованном компьютере такие вредоносные программы, как Trojan.Encoder.3905 (типичный шифровальщик), Trojan.PWS.Panda.2401 (банковский вирус), Trojan.DownLoader19.26835, BackDoor.Siggen.60436, Trojan.Click3.15886 (троянские программы) и другие.
Принцип работы вируса
BackDoor.Andromeda.1407 инфицирует только ПК на базе ОС Windows, причем ведет себя по разному в различных версиях системы. В версии Windows 8 и старше вирус продолжит функционировать с привилегиями текущего пользователя, а вот в Windows 7 он в первую очередь пытается повысить привилегии. Используемый при этом способ пока не раскрывается.
После проникновения в систему троянское приложение деактивирует показ скрытых файлов, после чего обращается к определенным системным каталогам, стараясь обнаружить открытые для записи. При обнаружении такой папки в нее сохраняется копия вируса (имя файла формируется случайным способом), исполняемому файлу устанавливаются атрибуты«скрытый» и «системный», что позволяет скрыть его от пользователя. BackDoor.Andromeda.1407 имеет и функцию защиты от анализа. После запуска троянская программа проверят наличие виртуальных машин, инструментов для мониторинга процессов и состояния реестра, а также программ—отладчиков. При обнаружении программ данного типа вредоносная утилита переводит себя в бесконечный режим сна.
Соединение с управляющим сервером осуществляется при помощи зашифрованного ключа. Адреса серверов хранятся в теле вируса (они также зашифрованы). Для передачи данных используется стандарт JavaScript Object Notation.