Doctor Web, drugi po Kasperskym producent najlepszych rozwiązań antywirusowych za wschodniej granicy, ostrzega przed najnowszej odmianie trojana BackDoor.Bitsex, który stanowi kompletny serwer do zdalnego sterowania zainfekowanym komputerem.

Szkodnik został całkowicie napisany w języku C i lokuje się na dysku w postaci biblioteki dynamicznej SetupEngine.dll. Po uruchomieniu trojana wprowadzane są do systemu dwa pliki Audiozombi.exe oraz właśnie SetupEngine.dll. Najpierw uruchamiany jest pierwszy z programów, który z kolei ładuje dynamiczną bibliotekę.

Po uruchomieniu, BackDoor.Bitsex sprawdza nazwę serwera do zarządzania, nim i nawiązuje z, nim połączenie. Następnie sprawdza listę uruchomionych procesów w poszukiwaniu programu antywirusowego. Znalazłszy go, wysyła raport do zdalnego serwera.

BackDoor.Bitsex uruchamia także program keyloggera w celu przechwytywania wciskanych klawiszy. Cały wynik jest przechowywany w folderze %SYSTEMROOT%SYSTEM32.

Lista funkcji realizowanych przez trojana jest dość imponująca. Jest on w stanie zdalnie umożliwiać podgląd plików na dysku, wysyłać zdjęcia, wysyłać obrazy z podłączonej kamery, wyciskać plik z zarejestrowanymi klawiszami (info.dat), uzyskiwać listę uruchomionych procesów, pobierać i uruchamiać pliki, aktualizować siebie, sprawdzać zdarzenia systemowe, otwierać wybrane strony WWW, obsługiwać połączenia zdalne, tworzyć http-proxy na wybranym porcie, wyświetlać wiadomości, realizować atak DDoS, tworzyć konta użytkowników Windows, wykonywać polecenia konsoli cmd.exe oraz modyfikować start systemu.

Źródło: drweb.com