BackDoor.Termuser


BackDoor.Termuser - вредоносная программа, реализующая на зараженном компьютере функции бэкдора и открывающая к нему доступ злоумышленникам.


Инсталляция
Этот бэкдор может устанавливаться в систему при помощи другого вредоносного ПО или загружаться в процессе просмотра инфицированных веб-сайтов.

После загрузки в память BackDoor.Termuser копирует себя под случайным именем в системную папку Windows, либо во временную папку, если попытка записи в системную директорию не увенчалась успехом. После чего вредоносная программа регистрирует и запускает службу Network Adapter Events, и далее пытается остановить и удалить сервисы установленного в системе антивирусного ПО.


Деструктивные действия
Непосредственно после своей инсталляции BackDoor.Termuser собирает информацию о зараженном компьютере (включая версию операционной системы, IP-адрес, имя локального пользователя) и отправляет ее на удаленный сервер. Затем загружает оттуда архив с программой BeTwinServiceXP.exe (удалённый рабочий стол RDP), распаковывает его и устанавливает приложение, отправляя злоумышленникам отчёт об успешном завершении этой операции. После чего вредоносная программа регистрирует в системе нового пользователя с именем TermUser, включает его в локальные группы "администраторы" и "пользователи удалённого рабочего стола", и затем скрывает пользователя при входе в систему.

Последующим действием BackDoor.Termuser копирует во временную папку файл троянца Trojan.PWS.Termuser и запускает его.

Trojan.PWS.Termuser - выводит на экран стандартное окно авторизации Windows и блокирует его закрытие пока пользователь не введет свои логин и пароль, которые автоматически записываются в зашифрованном виде в реестр.

Загрузившись в операционной системе, бэкдор BackDoor.Termuser не позволяет запускать антивирусные программы, способен выполнять поступающие из удаленного центра команды и передавать управление компьютером злоумышленникам.


Профилактика заражения
Пользователям рекомендуется регулярно устанавливать обновления безопасности Windows, а также выполнять проверку компьютера бесплатной лечащей утилитой Dr.Web CureIt! либо антивирусом Dr.Web.