BackDoor.Saker.1 - бэкдор с функциями кейлоггера


BackDoor.Saker.1 - бэкдор, способный обходить механизм контроля учетных записей пользователей, а впоследующем выполнять поступающие от злоумышленников команды, и осуществлять перехват нажимаемых пользователем клавиш (кейлоггинг).

После проникновения на инфицируемый компьютер, троян для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC) запускает на исполнение специальный файл

  • temp.exe


Этот файл извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe, после чего данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, эта библиотека запускает вредоносное приложение

  • ps.exe (детектируется как Trojan.MulDrop4.61259).


Данный файл сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем

  • "Net Security Service"

и следующим описанием:

  • "keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device".


Именно в этой библиотеке и кроется основной вредоносный функционал бэкдора.

Registry Editor

После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере:

  • версию Windows;
  • тактовую частоту процессора;
  • объем физической оперативной памяти;
  • имя компьютера;
  • имя пользователя;
  • серийный номер жесткого диска.


Затем вредонос создает в одной из системных папок файл, куда записываются нажатия пользователем клавиш на клавиатуре компьютера. После этого бэкдор ожидает ответ от удаленного сервера, в котором могут содержаться следующие команды:

  • перезагрузка;
  • выключение компьютера;
  • самоудаление;
  • запуск отдельного потока для выполнения команды через командный интерпретатор;
  • запуск собственного файлового менеджера, который имеет возможность выгружать файлы с машины пользователя, загружать файлы по сети, создавать папки, удалять;
  • перемещать файлы, а также запускать их.