В компании «Доктор Веб» сообщили об обнаружении нового троянца, написанного на скриптовом Visual Basic. Это бэкдор под названием VBS.BackDoor.DuCk.1. Вполне очевидно, что написан он русскоговорящими программистами.

Новый бэкдор распространяется в виде ярлыка с расширением .lnk. Его содержимым является запакованный VBS-сценарий, который при вызове извлекается из архива. Специальная функция определяет сигнатуру начала скрипта, после чего он извлекается в отдельный файл и запускается на исполнение. Выполняющийся скрипт определяет IP-адрес управляющего сервера, к которому троянец отсылает GET-запрос вида:

IP-адрес/wp-admin-content/Status2.php

Интересно, что название директории расположения скрипта начинается с префикса wp-, обычно используемого для Wordpress. Следует ли из этого, что на управляющем сервере размещена система управления контентом Wordpress, так как и стилистика названия директории очень похожа для админки Вордпресс? Размещенный в файле Status2.php скрипт определяет работоспособность сервера и если он доступен, то отправляет строку «ОКОКОК» в качестве ответа бэкдору.

VBS бэкдор DuCk обладает встроенным механизмом определение установленных на ПК виртуальных машин, эмулирующих аппаратные устройства компьютера: VirtualBox, VMware и Parallels. При этом функциональность бэкдора позволяет ему определить не находится ли он в среде виртуальной машины. Это осуществляется с помощью имперсонации и определения производителя системной платы. Также, он определяет mac-адрес виртуальной машины, используя заготовленный массив таких адресов.   

С другой стороны этот бэкдор отслеживает запущенные процессы, имеющие отношение к мониторингу системы, сети. Полученный список процессов превращается в строку и вместе со сведениями о виртуальной машине отправляется на управляющий сервер.

BackDoor.DuCk.1 также умеет определить наличие ряда антивирусов на ПК, в том числе и Касперски. Если Каспер не обнаруживается, то запускается сервер сценариев cscript.

Бэкдор в то же время создает в директории пользователя папку SystemFolder, которая используется им как рабочая. Для отвлечения внимания он сохраняет в папке Temp файлик с doc расширением под названием vtoroy_doc.

Умеет этот троянец делать скрины экрана компьютера, для хранения которых использует папку Temp , где оставляет файлы вида ~PE24.tmp. Кроме того, он проявляет значительную сетевую активность, пытаясь закачивать на инфицированный компьютер дополнительное вредоносное приложение и отправляя данные о ПК, скрины экрана. В автозагрузке бэкдор также прописывается как Microsoft Sync Services.lnk, — не обезвреженный он загружается вместе с системой. Вмешивается он и в работу реестра, отключая расширения браузера Internet Explorer.