BackDoor.Butirat ворует информацию с компьютеров


BackDoor.Butirat - вредоносная программа способная загружать из Интернета и запускать различные файлы, передавать злоумышленникам информацию с инфицированного компьютера и перехватывать трафик установленных в системе браузеров. На сегодняшний день насчитывается более 30 различных версий этого трояна.

Ранние модификации BackDoor.Butirat распространялись в виде динамической библиотеки, написанной на языке С++. Троян отправлял различные запросы в баннерообменные сети для активации того или иного баннера. К классу бэкдоров его отнесли прежде всего потому, что он позволял выполнять различные директивы, поступающие с удаленного командного центра, например, команду на обновление.

Более поздние реализации BackDoor.Butirat значительно расширили свои функциональные возможности. Например, BackDoor.Butirat.25, добавленный в вирусные базы в октябре 2011 года, обладает не только возможностью обработки удаленных команд, но и способностью модифицировать в своей копии дату PE-заголовка с целью изменения хеша файла. Эта версия BackDoor.Butirat также связана с рекламой: помимо иного функционала, она использует ресурсы систем контекстных объявлений (begun.ru и др.) для генерации нажатий на различные баннеры.

Трояны семейства BackDoor.Butirat после своего запуска создают в системной папке

  • ApplicationData

файл

  • netprotocol.exe

и регистрируют его в ветви реестра, отвечающей за автозапуск приложений.

Основная опасность для пользователя от троянов семейства BackDoor.Butirat - способность загружать с удаленного узла и запускать на выполнение произвольные приложения, а также передавать злоумышленникам различные файлы с инфицированного компьютера. В последнее время BackDoor.Butirat.25 скачивает на инфицированный компьютер трояна Trojan.Hosts.5006, ворующего пароли систем онлайн-банкинга Сбербанка и Альфа-Банка.

Отдельные модификации BackDoor.Butirat могут перехватывать входящий и исходящий трафик в различных браузерах (опасности подвержены, прежде всего, Internet Explorer, Firefox и Opera), благодаря чему злоумышленники могут отслеживать поисковые запросы пользователей к поисковым системам Yandex, Google, Yahoo, Nigma, Bing, Rambler, search.qip.ru, Rupoisk.ru и перенаправлять браузер на различные сайты, список которых передается трояну с удаленного командного центра.