VBS.BackDoor.DuCk.1 - коварный бэкдор для Windows


VBS.BackDoor.DuCk.1 - вредоносная программа, способная выполнять поступающие от злоумышленников команды, а также передавать на удаленный сервер сделанные на инфицированном компьютере снимки экрана. Кроме того бэкдор наделен механизмами проверки наличия на атакуемом компьютере виртуальной среды и антивирусных программ.

Троянская программа VBS.BackDoor.DuCk.1, написана на языке Visual Basic Script. Распространяется в виде файла ярлыка с расширением .lnk, в содержимое которого записан запакованный VBS-сценарий. При открытии этого ярлыка, VBS-скрипт извлекается и сохраняется в виде отдельного файла, после чего происходит его автоматический запуск.

Установлено, что VBS.BackDoor.DuCk.1 использует весьма интересный способ определения адреса управляющего сервера. Так, в начале VBS-сценария предусмотрено три ссылки, две из которых ведут на страницы видеохостинга YouTube, а еще одна — на страницу облачного сервиса Dropbox.

VBS.BackDoor

На данные ресурсы троян отправляет GET-запрос и в поступившем ответе выполняет поиск с заданным вирусописателями регулярным выражением:

  • our (.*)th psy anniversary.


Полученное в результате поиска значение делится на 31 337. Итог этой математической операции представляет собой число, которое после перевода в шестнадцатеричную форму соответствует значению IP-адреса управляющего сервера. Для проверки работоспособности этого сервер зловред отправляет по указанному адресу специальный GET-запрос и проверяет в ответе наличие строки "ОКОКОК".

Также VBS.BackDoor.DuCk.1 обладает специальным механизмом проверки наличия на атакуемом компьютере виртуальной среды и работающих процессов различных приложений для мониторинга операционной системы. Кроме того, в самом бэкдоре реализовано выявление на инфицированном компьютере нескольких антивирусных программ, в случае обнаружения которых вредонос не выполняет один из своих сценариев.

VBS.BackDoor.DuCk.1 создает в директории текущего пользователя Windows вложенную папку, которую в дальнейшем использует в качестве рабочей. Маскируясь, троян сохраняет в папке для размещения временных файлов документ vtoroy_doc.doc и демонстрирует его пользователю:

vtoroy doc

Исходя из того, что в коде трояна реализован алгоритм завершения процесса PowerPoint, можно предположить, что изначально это приложение использовалось злоумышленниками в качестве "приманки".

Также бэкдор делает снимки экрана. Для этих целей он использует собственную библиотеку. Все скриншоты сохраняются во временную папку в виде файлов с расширением .tmp. Еще, используя специальный REG-файл, троян может отключать расширения браузера Microsoft Internet Explorer. В Windows Vista вредоносная программа отключает в том же браузере режим protected, однако, используя при этом другой REG-файл. Чтобы автоматически запускаться, VBS.BackDoor.DuCk.1 размещает в папке автозагрузки соответствующий ярлык:

Startup Properties
VBS.BackDoor code

Ежеминутно троян отправляет на управляющий сервер определенные запросы, при помощи которых он определяет, какую команду ему выполнять. Так, например, среди команд, выполняемых VBS.BackDoor.DuCk.1 можно выделить:

  • скачивание на инфицированный компьютер другого вредоносного приложения;
  • загрузка снимков экрана на удаленный сервер.


Остальные команды вредонос передает командному интерпретатору CMD или PowerShell. Можно также отметить, что бэкдор способен выполнить на зараженной машине Python-сценарий. Результаты его работы в зашифрованном виде передаются на принадлежащий злоумышленникам сервер.