Backdoor.Win32.DarkKomet

Дата публикации 29/09/2015
Класс Backdoor
Платформа Win32
Описание

Вредоносная программа этого семейства представляет собой программу DarkComet, предназначенную для удаленного управления или администрирования компьютера. Параметры соединения зашифрованы в исполняемом файле программы.

Эта программа выполняет следующие функции:

  • получение информации о зараженном компьютере;
  • управление процессами;
  • удаленный командный интерпретатор;
  • получение списка окон;
  • удаленный доступ к рабочему столу;
  • удаление программ;
  • управление системными службами;
  • управление системным реестром;
  • удаленное выполнение сценариев JavaScript / VBScript;
  • управление файлами через встроенный файловый менеджер;
  • захват видео и аудио с веб-камеры или микрофона;
  • сохранение нажатий клавиатуры в файл (информация о нажатых клавишах не шифруется и хранится в папке %APPDATA%dclogs в файлах с именами в формате ГГ-ММ.dc);
  • работу в качестве прокси-сервера SOCKS;
  • перенаправление IP-адресов и портов;
  • перехват содержимого буфера обмена;
  • выключение и перезапуск операционной системы;
  • загрузку, отправку и выполнение файлов;
  • отправку журналов нажатий клавиш клавиатуры на удаленный FTP-сервер.

География атак семейства Backdoor.Win32.DarkKomet

География атак в период 24.07.2014 — 27.07.2015

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Россия 21,95
2 Индия 5,43
3 Германия 5,31
4 Вьетнам 4,53
5 США 4,33
6 Турция 3,96
7 ОАЭ 2,91
8 Украина 2,57
9 Франция 2,26
10 Италия 2,11

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом