Трояны семейства BackDoor.Volk


BackDoor.Volk - троянская программа, способная изменять содержимое файла hosts и выполнять на инфицированной машине поступающие от удаленного сервера злоумышленников команды. Родиной этих троянов является Южная Америка.

BackDoor.Volk.1 - вредоносная программа написана на языке PHP и конвертирована в исполняемый код при помощи утилиты php2exe. Троян модифицирует на зараженной машине файл hosts, отвечающий за сопоставление DNS-имен IP-адресам. Он также способен загружать с удаленного узла и запускать на инфицированном ПК различные приложения.

Трояны семейства BackDoor.Volk способны объединяться в ботнеты, управляемые посредством специальной административной панели. В одной из ботсети, построенной на базе BackDoor.Volk, насчитывалось порядка 100 ботов, а география инфицированных машин чрезвычайно широка. Более всего заражений приходится:

  • Чили - 31%;
  • Уругвай - 13%;
  • Перу - 8%;
  • Аргентина - 4%;
  • Испания - 3%;
  • США и Индия - по 2%;
  • Канада, Колумбия и Бразилия - по 1%.
  • в государстве под названием "Unknown" - 34% инфицированных компьютеров.

BackDoor.Volk

BackDoor.Volk.2 - вредоносная программа, способная загружать и запускать приложения на инфицированном компьютере, подменять файл hosts. Программа обладает функционалом для проведения DDoS-атак и способна красть пароли от FTP-клиентов, установленных на инфицированном компьютере. Троян написан на Visual Basic. При обращении к удаленным узлам для передачи запросов использует метод POST, а не GET. Модуль обмена данными с командным сервером в трояне BackDoor.Volk.2 позаимствован у другой вредоносной программы — BackDoor.Herpes, исходные коды которой появились в свободном доступе некоторое время назад.

BackDoor.Volk.3 и BackDoor.Volk.4 - являются модификациями BackDoor.Volk.2. Написаны на Visual Basic. Основные изменения касаются методов обмена информацией с управляющим сервером. Функционал этих троянов в целом схож. Главная опасность для пользователя заключается в подмене файла hosts, из-за которой потенциальная жертва может быть обманом завлечена на созданные злоумышленниками фишинговые сайты. А способность трояна красть пароли от FTP-клиентов открывает перед вирусописателями возможность получения несанкционированного доступа к различным веб-сайтам.