«Доктор Веб» обнаружил троянца, который отказывается работать в России, Украине, Белоруссии и Казахстане

Антивирусные аналитики компании «Доктор Веб» в этом месяце зафиксировали активность новой троянской программы под названием BackDoor.Andromeda.1407, которая распространяется при помощи другого троянца-загрузчика — Trojan.Sathurbot.1.
Основное предназначение BackDoor.Andromeda.1407 — выполнение поступающих от злоумышленников директив, в том числе загрузка и установка дополнительных плагинов, а также иного вредоносного ПО. При этом взаимодействие с управляющим сервером бекдор осуществляет с помощью специального зашифрованного ключа, адреса командных узлов также хранятся в теле вредоноса в зашифрованном виде. Передача информации реализована с использованием формата обмена данными JSON (JavaScript Object Notation) с применением метода криптографии.

При запуске в инфицированной системе бекдор проверяет командную строку на наличие ключа «/test» и в случае его обнаружения выводит в консоль сообщение «\n Test – OK», а затем завершается. В случае обнаружения любой опасной для себя программы, BackDoor.Andromeda.1407 переходит в бесконечный режим сна.

Затем бекдор считывает серийный номер системного тома жёсткого диска, который требуется для генерации значений различных именованных объектов. Сразу после своего запуска зловред путём инжекта пытается перебраться в новый процесс, а исходный — завершить. Это позволяет ему попутно собирать различные сведения об инфицированной машине, включая разрядность и версию ОС, права текущего пользователя и настроенные на атакованном компьютере раскладки клавиатуры. И тут начинается самое интересное: если BackDoor.Andromeda.1407 обнаруживает в Windows наличие русской, украинской, белорусской или казахской раскладок, он завершается и сам удаляется из системы.

Источник:
Dr.Web