Symantec: Троян загружает вредоносные компоненты при помощи доверенных приложений Windows

SymantecПо данным компании Symantec, в последнее время при проведении атак хакеры активно используют вредоносную программу Backdoor.Korplug.

Backdoor.Korplug - троянская программа, использующая доверенные приложения Microsoft для маскировки своего присутствия на инфицированном компьютере, а также модули перехвата изображения с экрана и клавиатурный шпион.

В ходе проведения атак злоумышленники используют стандартную схему, отправляя жертве электронное письмо, содержащее зашифрованный ZIP-архив с паролем или документ Microsoft Office. Под видом этих вложений хакеры скрывают троянскую программу, нацеленную на уязвимость в Microsoft Windows Common Control Library ActiveX компоненте CVE-2012-0158.

После открытия жертвой вложенного в сообщении файла запускается эксплойт для уязвимости. В случае если уязвимость не устранена, на компьютере жертвы устанавливается бэкдор. Эксперты отмечают, что в последних продуктах компании Microsoft уязвимость

  • MSCOMCTL.OCX RCE

устранена и вредоносная программа может эксплуатировать ее только на устаревших версиях ПО.

По данным исследователей Symantec, эксплуатация уязвимости является не самой страшной способностью вредоносной программы. Ее основа, загружаемая на компьютер жертвы, состоит из трех частей:

  • rc.exe;
  • rc.dll;
  • rc.hlp.


Компонент rc.exe является доверенным приложением Windows. Однако, находясь в одном каталоге с вредоносной библиотекой rc.dll, он загружает вредоносный код вместо законной библиотеки из системной папки Windows.


Обновлено (31.07.2012 19:34)