Новый троян крадёт документы жертвы
«Доктор Веб» предупреждает о возникновении новой вредной программы — бекдора Apper, атакующего компьютеры под управлением операционных систем Microsoft Windows.
Зловред распространяется при помощи дроппера, который представляет собой документ Microsoft Excel, содержащий особый макрос. Этот макрос собирает по б и запускает самораспаковывающийся архив с исполняемым файлом. Последний имеет действительную цифровую подпись компании Symantec. В архив также входит динамическая библиотека, в которой сосредоточена основная функциональность бэкдора.
Троян регистрирует в автозагрузке исполняемый файл, который после своего запуска загружает в память атакуемого компьютера вредоносную библиотеку. Потом начальный файл удаляется.
Вредная программа создана для хищения документов и шпионажа. После удачного запуска зловред действует в качестве кейлоггера — фиксирует нажатия кнопок и записывает их в особый зашифрованный файл. Ещё одна функция Apper — мониторинг файловой системы. Если на диске компьютера имеется конфигурационный файл, содержащий пути к папкам, состояние которых троян должен выслеживать, он будет фиксировать все изменения в этих папках и передавать информацию на управляющий сервер.
Перед установкой связи с командным сервером бэкдор собирает данные о заражённом компьютере: его имя, версию операционной системы, сведения о микропроцессоре, оперативки и дисках, после этого отсылает приобретенные сведения злоумышленникам. Потом троян добывает более подробную информацию о дисковых накопителях, которая также передается на управляющий сервер вместе с файлом журнала кейлоггера.
Зловред может по команде отправить злоумышленникам сведения о содержимом данной папки либо обозначенный киберпреступниками файл, удалить либо переименовать какой-нибудь файловый объект, сделать на заражённом компьютере новую папку, также сделать скриншот и отправить его на принадлежащий вирусописателям сервер.