Backdoor.Win32.DarkKomet

Classe principal: TrojWare

Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.

Classe: Backdoor

Os backdoors são projetados para permitir que usuários mal-intencionados controlem remotamente o computador infectado. Em termos de funcionalidade, os Backdoors são semelhantes a muitos sistemas de administração projetados e distribuídos por desenvolvedores de software. Esses tipos de programas mal-intencionados possibilitam fazer qualquer coisa que o autor queira no computador infectado: enviar e receber arquivos, iniciar ou excluir arquivos, exibir mensagens, excluir dados, reinicializar o computador etc. Os programas nessa categoria costumam ser usados a fim de unir um grupo de computadores da vítima e formar uma rede de botnets ou zumbis. Isso dá aos usuários mal-intencionados controle centralizado sobre um exército de computadores infectados que podem ser usados ​​para fins criminosos. Há também um grupo de Backdoors que são capazes de se espalhar através de redes e infectar outros computadores como os Net-Worms. A diferença é que tais Backdoors não se propagam automaticamente (como fazem os Net-Worms), mas apenas com um “comando” especial do usuário mal-intencionado que os controla.

Plataforma: Win32

O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.

Descrição

O malware nesta família consiste em DarkComet, um programa projetado para controlar ou administrar remotamente um computador vítima. Os parâmetros de conexão são criptografados na classe executável do programa = "most_attacked_countries". O programa executa as seguintes funções:

• Obtendo informações sobre o computador infectado.
• Controlando processos.
• Interpretando comandos enviados remotamente.
• Obtendo uma lista de janelas.
• Fornecendo acesso remoto à área de trabalho.
• Excluindo programas.
• Gerenciando serviços do sistema.
• Modificando o Registro do Sistema.
• Executando scripts JavaScript / VBScript enviados remotamente.
• Modificando arquivos através do gerenciador de arquivos embutido.
• Captura de vídeo e áudio a partir de uma webcam ou microfone.
• Salvando os pressionamentos de tecla em um arquivo (as informações de pressionamento de tecla não são criptografadas e são armazenadas na pasta% APPDATA% dclogs em arquivos com o formato de nome YY-MM-DD.dc).
• Atuando como um servidor proxy SOCKS.
• Redirecionando endereços IP e portas.
• Capturando o conteúdo da área de transferência.
• Desligando e reiniciando o sistema operacional.
• Baixando, enviando e executando arquivos.
• Enviando logs de pressionamento de tecla para um servidor FTP remoto.

Os 10 principais países com a maioria dos usuários atacados (% do total de ataques)

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com