«Доктор Веб» изучил механизм работы зловреда BackDoor.Ragebot.45, способного инфицировать архивы и удалять другие вредоносные программы.
Ragebot — это червь, распространяющийся через систему удалённого доступа VNC (Virtual Network Computing). Зловред получает команды с использованием протокола для обмена текстовыми сообщениями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому злоумышленники отдают управляющие директивы.
Ragebot инфицирует компьютеры под управлением Windows. Проникнув в систему, червь запускает FTP-сервер, посредством которого скачивает на атакуемый ПК свою копию. Затем он сканирует доступные подсети в поисках узлов с открытым портом 5900, используемым для организации соединения при помощи системы удалённого доступа к рабочему столу VNC. Обнаружив такую машину, Ragebot пытается получить к ней несанкционированный доступ путём перебора паролей по списку.
Если взлом удался, червь устанавливает с удалённым компьютером VNC-соединение и отправляет сигналы нажатия клавиш, с помощью которых запускает интерпретатор команд CMD и выполняет в нём код для загрузки по протоколу FTP собственной копии. Это обеспечивает автоматическое распространение.
Червь способен инфицировать RAR-архивы на съёмных носителях, внедряя в них свою копию под видом exe-файла. Правда, заражение в данном случае происходит только тогда, когда пользователь самостоятельно запустит исполняемый файл.
Наконец, по командам злоумышленников Ragebot способен искать в системе сторонние троянские программы, завершать их процессы и удалять соответствующие модули.
Источник: