Backdoor.Sinowal.Win32.16134

Backdoor.Sinowal.Win32.16134 - Шкідлива програма, що краде логіни й паролі. Даний Baсkdoor має функціональність Rootkit, через що його пошук і лікування сильне ускладнюються. Являє собою файл, що виконується, Windows PE (EXE), ррозмір шкідливого програмного забезпечення - ~107 Кбайт,  написаний на Microsoft  Visukl C++ 7.0.

Методи розповсюдження 

розповсюджується через:

• файлообмінні Web-Сайти й соціальні мережі, де він замаскований під  які-небудь корисні програми, зломщики програм, генератори серійних кодів і ключів, і т.п. Чим спонукає користувача скачати його й запустити в себе на комп'ютері.
• уразливість Adobe PDF,  яка дозволяє автоматично виконатися  скрипту ( java script), що знаходиться усередині PDF  файлу.  Після запуску скрипт завантажує з мережі Інтернет і запускає на виконання основне тіло Backdoor.
• уразливості в браузерах, які дозволяють виконатися довільному програмному коду, який у свою чергу здійснює завантаження й запуск даного Baсkdoor.

Впровадження в систему 

Після запуску, Backdoor змінює MBR жорсткого диска,  записуючи туди свій завантажник, який при запуску комп'ютера довантажує основне тіло вірусу, що знаходиться в  останніх сектори диска. Таким чином, шкідливе програмне забезпечення завантажується раніше операційної системи, що дає йому великі переваги.

Для приховання своєї присутності в системі, Backdoor перехоплює доступ до диска на рівні оброблювача запитів вводу/виводу. Через що антивірусні програми не можуть виявити присутність Backdoor у системі.

Функціональні дії 

Впроваджує частину свого коду у пам'ять системних процесів і перехоплює паролі і логіни,  що вводяться, а також ключі шифрування. Після чого відправляє зібрані дані зловмисникам на один із серверів, ім'я якого генерується внутрішнім алгоритмом Backdoor.

рекомендації з лікування 

Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.