BackDoor.Termuser – новый бэкдор

Специалисты компании Доктор Веб обнаружили новую вредоносную программу BackDoor.Termuser, открывающую злоумышленникам доступ к зараженному компьютеру. Предположительно, бэкдор может устанавливаться в систему при помощи другого вредоносного ПО или загружаться в процессе просмотра инфицированных веб-сайтов.

Непосредственно после загрузки в память BackDoor.Termuser копирует себя под случайным именем в системную папку Windows или во временную папку. Затем вредоносная программа регистрирует и запускает службу Network Adapter Events, после чего пытается остановить и удалить сервисы установленного в системе антивирусного ПО.

После установки BackDoor.Termuser собирает информацию о зараженном компьютере (включая версию операционной системы, IP-адрес, имя локального пользователя) и отправляет ее на удаленный сервер, затем загружает оттуда архив с программой BeTwinServiceXP.exe (удаленный рабочий стол RDP), распаковывает его и устанавливает приложение, отправляя злоумышленникам отчет об успешном завершении этой операции.

Затем вредоносная программа регистрирует в системе нового пользователя с именем TermUser, включает его в локальные группы "администраторы" и "пользователи удаленного рабочего стола", после чего скрывает пользователя при входе в систему. Наконец, BackDoor.Termuser копирует во временную папку файл троянца Trojan.PWS.Termuser и запускает его. Троянец выводит на экран стандартное окно авторизации Windows и блокирует его закрытие до тех пор, пока пользователь не введет свои логин и пароль, которые автоматически записываются в зашифрованном виде в реестр.

Загрузившись в операционной системе, BackDoor.Termuser не только блокирует запуска антивирусов, но также способен выполнять поступающие из удаленного центра команды и передавать управление компьютером злоумышленникам. В целях профилактики заражения этим вредоносным ПО пользователям рекомендуется регулярно устанавливать обновления безопасности Windows и выполнять проверку компьютера антивирусом.