BackDoor.Butirat.91 - похищает пароли от FTP-клиентов


BackDoor.Butirat.91 - троян-бэкдор, позволяющий загружать на инфицированный компьютер и запускать на нем исполняемые файлы, а также красть пароли от популярных FTP-клиентов. Это чревато утечкой разного рода конфиденциальных данных в руки злоумышленников, а также вероятностью потери контроля над работой собственного ПК.

В момент запуска вредоносная программа обращается к системному реестру Windows с целью определить, не установлена ли уже ее копия. При наличии на инфицированном ПК трояна BackDoor.Butirat.91, процесс установки не запускается. Если инсталляция началась, BackDoor.Butirat.91 создает свою копию в одной из системных папок и вносит изменения в реестр, с тем чтобы при загрузке Windows осуществлялся его автоматический запуск.

Mem1 Out

В качестве хранилища данных троян использует специальный файл, расположенный в той же папке, где размещается само вредоносное приложение. После успешного запуска троян устанавливает соединение с сервером злоумышленников для получения зашифрованных директив. Одно из основных функциональных назначений BackDoor.Butirat.91 — кража и передача злоумышленникам паролей от популярных FTP-клиентов, среди которых:

  • FlashFXP;
  • Total Commander;
  • Filezilla;
  • FAR;
  • WinSCP;
  • FtpCommander;
  • SmartFTP.


Также троян способен загружать с удаленных узлов и запускать на инфицированной машине исполняемые файлы и "накручивать" показатели различных счетчиков посещаемости веб-страниц. Попытки скачать заданный злоумышленниками файл троян осуществляет трижды с интервалом в 60 секунд.