Распространился новый троянец, перехватывающий данные с клавиатуры

По словам представителей компании Dr.Web, проникнув на пользовательское устройство, BackDoor.Saker.1 запускает файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей с помощью извлечения из ресурсов специальной библиотеки, после чего происходит встраивание в процесс explorer.exe. Данная библиотека сохраняется в одной из системных папок, а затем, при запуске системной утилиты Sysprep,она запускает вредоносное приложение ps.exe, которое Dr.Web детектирует как Trojan.MulDrop4.61259. Данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и описанием: «keep watch on system security and configuration.if this services is stopped, protoected content might not be down loaded to the device». Именно в этой библиотеке и сосредоточен основной вредоносный функционал бэкдора.

Сообщается, что после успешного запуска BackDoor.Saker.1 собирает и передает злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объем физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска. Затем троянец создает в одной из системных папок файл, в который записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды: перезагрузка, выключение компьютера, самоудаление, запуск отдельного потока для выполнения команды через командный интерпретатор, или для запуска собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать
файлы по сети, создавать папки, удалять, перемещать файлы, а также запускать их.

На данный момент сигнатура BackDoor.Saker.1 добавлена в вирусные базы Dr.Web.