Троян загружает вредоносные компоненты при помощи доверенных приложений Windows
🕛 01.08.2012, 06:01
Вирус использует легитимные приложения для маскировки своего присутствия на инфицированном компьютере, а также для загрузки компонентов бэкдора. По данным компании Symantec, в последнее время при проведении атак хакеры активно используют вредоносную программу Backdoor.Korplug, обнаруженную экспертами в марте этого года.
Backdoor.Korplug является обычной троянской программой с несколькими интересными отличиями – вирус использует доверенные приложения Microsoft для маскировки своего присутствия на инфицированном компьютере, а также модули перехвата изображения с экрана и клавиатурный шпион.
В ходе проведения атак злоумышленники используют стандартную схему, отправляя жертве электронное письмо, содержащее зашифрованный ZIP-архив с паролем или документ Microsoft Office. Под видом этих вложений хакеры скрывают троянскую программу, которая нацелена на уязвимость в Microsoft Windows Common Control Library ActiveX компоненте CVE-2012-0158.
После открытия жертвой вложенного в сообщении файла запускается эксплоит для уязвимости, и в случае, если уязвимость не устранена, на компьютере жертвы устанавливается бэкдор. Эксперты отмечают, что в последних продуктах компании Microsoft уязвимость MSCOMCTL.OCX RCE устранена и вредоносная программа может эксплуатировать ее только на устаревших версиях ПО.
По данным исследователей Symantec, эксплуатация уязвимости является не самой страшной способностью вредоносной программы. Ее основа, загружаемая на компьютер жертвы, состоит из трех частей: rc.exe, rc.dll и rc.hlp. примечательным является то, что компонент rc.exe является доверенным приложением Windows. Однако, находясь в одном каталоге с вредоносной библиотекой rc.dll, он загружает вредоносный код вместо законной библиотеки из системной папки Windows.