«Доктор Веб» предупреждает о появлении новой вредоносной программы — бекдора Apper, атакующего компьютеры под управлением операционных систем Microsoft Windows.
Зловред распространяется с помощью дроппера, который представляет собой документ Microsoft Excel, содержащий специальный макрос. Этот макрос собирает по байтам и запускает самораспаковывающийся архив с исполняемым файлом. Последний имеет действительную цифровую подпись компании Symantec. В архив также входит динамическая библиотека, в которой сосредоточена основная функциональность бэкдора.
Троян регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку. Затем исходный файл удаляется.
Вредоносная программа предназначена для хищения документов и шпионажа. После успешного запуска зловред действует в качестве кейлоггера — фиксирует нажатия клавиш и записывает их в специальный зашифрованный файл. Ещё одна функция Apper — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троян должен отслеживать, он будет фиксировать все изменения в этих папках и передавать информацию на управляющий сервер.
Перед установкой связи с командным сервером бэкдор собирает данные о заражённом компьютере: его имя, версию операционной системы, сведения о процессоре, оперативной памяти и дисках, после чего отсылает полученные сведения злоумышленникам. Затем троян добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера.
Зловред может по команде отправить злоумышленникам сведения о содержимом заданной папки или указанный киберпреступниками файл, удалить или переименовать какой-либо файловый объект, создать на заражённом компьютере новую папку, а также сделать снимок экрана и отправить его на принадлежащий вирусописателям сервер.
Источник: