Интернет магазин китайских планшетных компьютеров

Компьютеры - Backdoor.Win32.Sinowal - Деструктивная активность

Бэкдор скачивает с сайтов злоумышленника модуль-дополнение, содержащий шпионский функционал, и внедряет его в запущенные в системе процессы пользователя. Шпионский модуль перехватывает следующие системные функции поддержки шифрования:

• CryptDestroytKey
• CryptEncrypt
• CryptDecrypt

и похищает все используемые в системе ключи шифрования, а также шифруемые и дешифруемые данные. Собранную информацию руткит отправляет на сайт злоумышленника. Бэкдор использует технологию постоянной миграции серверов злоумышленника, для этого используется специальный алгоритм генерации доменного имени в зависимости от текущей даты.

Метод распространения

На теперешний момент в основном распространение ведется через три типа ресурсов:

1. взломанные сайты;
2. порно-ресурсы;
3. ресурсы, которые распространяют вредоносное ПО.

Во всем этом прослеживается русская нотка, по мнению аналитиков KasperskyLab. Дело в том, что большинство сайтов — распространителей связаны между собой ссылками. Этот метод взаимодействия очень популярен в российском и украинском андерграунде.

При этом на ресурсах используется скрипт, который начинает первый этап инфицирования жертвы. Переадресация производится на IP, который отныне — домен, на который переадресовывается жертва, генерируется скриптом. Генерация происходит, отталкиваясь от даты, которая установлена на компьютере-жертве.

Еще одной хитрой технологией, относящейся к распространению, можно назвать cookies, которые вирус оставляет на жертве. Длительность жизни этих cookies составляет 7 дней. Делается это для того, чтобы идентифицировать жертву при повторном попадании в лапы к скрипту. Cookies проверяются, и если скрипт выявляет, что жертва уже побывала на приеме у административной панели, то переадресации не происходит.