У мережі з’явилася нова версія шкідливого коду Butirat

У мережі широке розповсюдження отримала нова шкідлива програма сімейства BackDoor.Butirat. Чергова модифікація цієї відомої загрози, отримавши найменування BackDoor.Butirat.245, використовує принципово новий механізм, що дозволяє троянцю генерувати імена керуючих серверів зловмисників. Швидше за все, це робиться для того, щоб підвищити «живучість» шкідливої ​​програми при відключенні одного з керуючих центрів, говорять в антивірусній компанії “Доктор Веб”.

Нагадаємо, що троянці-бекдори сімейства BackDoor.Butirat здатні завантажувати на інфікований комп’ютер і запускати на ньому виконувані файли по команді з керуючого сервера, а також красти паролі від популярних FTP-клієнтів (FlashFXP, Total Commander, Filezilla, FAR, WinSCP, FtpCommander, SmartFTP та ін.)

Принцип, використовуваний даними троянцем для зараження комп’ютера жертви, також не відрізняється оригінальністю: BackDoor.Butirat створює свою копію в одній із системних папок і вносить зміни до реєстру, з тим щоб при завантаженні Windows здійснював його автоматичний запуск.

Відмінною особливістю модифікації BackDoor.Butirat.245 є принципово новий механізм, що дозволяє трояну генерувати імена керуючих серверів, в той час як в попередніх версіях адресу командного центру був жорстко прописаний у самій шкідливій програмі. Як і у випадку з нещодавно доданими до бази новими модифікаціями шкідливої ​​програми BackDoor.BlackEnergy, при дослідженні BackDoor.Butirat.245 фахівців «Доктор Веб» чекав сюрприз: троянець автоматично генерує імена керуючих доменів третього рівня. У той же час відповідний домен другого рівня зареєстрований добре відомою компанією, традиційно ігнорує будь-які повідомлення і скарги. Ймовірно, вірусописачі вважали, що зможуть таким способом підвищити «живучість» шкідливої ​​програми у разі відключення одного з керуючих центрів.