BackDoor.Hser.1 атакует оборонные предприятия


BackDoor.Hser.1 - вредоносная программа, предназначенная для похищения информации с инфицированных устройств, а также для выполнения поступающих от злоумышленников команд.

Распространяется троян посредством почтовой рассылки, рассылаемой на личные и служебные электронные адреса сотрудников более десяти предприятий, входящих в состав известного российского концерна. При этом все данные предприятия имеют оборонный профиль или обслуживают интересы военно-промышленного комплекса.

Письма рассылаются якобы от имени сотрудника головной организации холдинга и имеют заголовок

  • "Дополнение к срочному поручению от 30.03.15 № УТ-103".


В самом сообщении получателю предлагают ознакомиться с номенклатурой некоего оборудования. Кроме того, имеется вложение в виде файла Microsoft Excel с именем

  • "Копия оборудование 2015.xls".

Dopolnenie k srochnomu porucheniu

Этот вложенный файл содержит эксплойт, который использует уязвимость CVE2012-0158 в некоторых версиях табличного редактора Microsoft Excel. Если пользователь попытается открыть данный файл, то на атакуемом компьютере будет запущен процесс excel.exe, в который и встраивается дроппер трояна.

В свою очередь дроппер распаковывает из своего тела бэкдор BackDoor.Hser.1, сохраняя его на диск в папку

  • C:\Windows\Tasks\

под именем npkim.dll. Затем регистрирует данную библиотеку в параметрах автозагрузки Windows и запускает командный интерпретатор cmd.exe с целью удаления файла процесса, в который он был встроен.

Запустившись на инфицированном компьютере, BackDoor.Hser.1 расшифровывает хранящийся в его теле адрес управляющего сервера, а затем устанавливает с ним соединение. Вся полученная зловредом информация о зараженном устройстве передается на принадлежащий злоумышленникам командный центр. Такой информацией может выступать:

  • IP-адрес компьютера;
  • имя устройства;
  • версия операционной системы;
  • наличие в сети прокси-сервера и др.


После передачи информации троян BackDoor.Hser.1 ожидает от злоумышленников поступления команд. По команде вредоносное ПО может:

  • передавать на удаленный сервер список активных процессов на зараженном ПК;
  • загружать и запускать другое вредоносное приложение;
  • открывать командную консоль;
  • выполнять перенаправление ввода-вывода на принадлежащий киберпреступникам сервер.


Благодаря такой функциональности злоумышленники способны дистанционно управлять инфицированным компьютером.