Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Un nuevo backdoor roba los documentos y espía los usuarios

6 de mayo de 2016

Los backdoors son un tipo de troyanos capaces de ejercer en el equipo infectado los comandos de los malintencionados. Normalmente los backdoors se usan para el control remoto sobre el equipo infectado y robar varios tipos de la información confidencial. Uno de los representantes de esta clase de programas nocivos fue un troyano detectado por los expertos de la empresa Doctor Web, destinado para robar documentos y espiar.

El troyano BackDoor.Apper.1 que amenaza a los usuarios de Microsoft Windows se difunde usando un dropper – un documento de Microsoft Excel que contiene un macro específico. Este macro recaba por bytes e inicia el archivo de autodescompresión. Este archivo archivado, a su vez, contiene al archivo ejecutable que tiene una firma digital válida de la empresa Symantec, y la biblioteca dinámica que contiene la funcionalidad básica del backdoor. El troyano registra el archivo ejecutable en el autoinicio y el mismo, una vez iniciado, descarga una biblioteca nociva a la memoria del equipo atacado.

screen #drweb

El destino principal de BackDoor.Apper.1 es robar varios documentos desde el equipo infectado. Al registrar su propia aplicación en el autoinicio, el troyano borra el archivo inicial.

Una vez iniciado correctamente, BackDoor.Apper.1 funciona como keylogger: registra las pulsaciones de teclas y las guarda en un archivo cifrado especial. Otra función del troyano es la supervisión del sistema de archivos. Si en la unidad del equipo hay un archivo de configuración que contiene las rutas a las carpetas cuyo estado el troyano debe supervisar, BackDoor.Apper.1 registrará todos los cambios en estas carpetas y transmitirá esta información al servidor administrativo.

Antes de establecer conexión con el servidor de comandos, el backdoor recaba los datos sobre el equipo infectado: su nombre, la versión del sistema operativo, la información sobre el procesador, la memoria operativa y las unidades, y luego envía la información recibida a los malintencionados. Luego el troyano busca la información más detallada sobre las unidades de disco que también se transmite al servidor administrativo junto con el archivo del registro de keylogger. Luego BackDoor.Apper.1 cambia al modo de espera de comandos.

Para recibir la directiva, el troyano envía al servidor administrativo una solicitud especial. Entre todo lo demás, el backdoor, por comando, puede enviar a los malintencionados la información sobre el contenido de la carpeta establecida o un archivo indicado por los ciberdelincuentes, borrar o cambiar nombre de algún objeto de archivos, crear en el equipo infectado una nueva carpeta, así como hacer una copia de pantalla y enviarla al servidor perteneciente a los ciberdelincuentes.

El antivirus Dr.Web detecta y borra este troyano, por lo tanto, no supone peligro para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А