28 мая 2014 
Serg
Вредоносная программа под названием MiniDuke нашла новые «лазейки», которые недавно сумели обнаружить эксперты международной антивирусной компании Eset, о чем уже и успели сообщить в CNews. В самом сообщении идет речь об особенностях и уловках MiniDuke, о которых иногда не подозревают даже продвинутые пользователи.
Хорошо закрывайте заднюю дверь, потому что программа MiniDuke это разновидность вредоносного программного обеспечения, так называемый бэкдор, который дает доступ к компьютеру жертвы и его данным в целом без каких либо сопротивлений. При этом обновленная версия стала более изворотливой и в качестве основного инструмента выбрала эксплойт к уязвимости CVE-2014-1761, на которую так хромали все версии Microsoft Word 2003-2013, пока этим вопросом не занялись вплотную, и не было выпущено соответствующее обновление.
Сам по себе бэкдор опасен и тем, что в нем хранится вспомогательный модуль, который позволяет работать с удаленным сервером, а катализатором в этом случае выступает сервис микроблогов Twitter, так популярен среди пользователей ПК. Для управления MiniDuke, авторы ухитрились воспользоваться twitter-аккаунтом @FloydLSchwart, при этом обращение к нему идет без посвящения в это самого пользователя (который может даже об этом и не подозревать), при этом ПО ищет твиты, содержащие тэг «Х)))» (в предыдущей модификации программы — «uri!»).
После успешного обнаружения твита с подходящим тэгом, MiniDuke, используя указанную в посте ссылку, передает данные о жертве на удаленный сервер. Таким образом, отцы бэкдора получают полную власть над данными, которая может решить судьбу их цели: имя компьютера и домена, код страны, IP-адреса, информацию о версии операционнойсистемы, список установленных антивирусных продуктов, конфигурацию прокси и что только душе угодно.
Еще одним пунктом в послужном списке MiniDuke является непосредственная возможность бэкдора к так называемому размножению: он может свободно разрушить всю систему в целом за счет подгрузки из паутины все большего количества вредоносные программы и их запуска на зараженном компьютере.
Но компания Eset нашла решение и такому выпаду со стороны злоумышленников – MiniDuke деактивируется антивирусными решениями Eset NOD32 как Win32/SandyEva.G, а опасный RTF-документ, через который и происходит само распространение эксплойта, как Win32/Exploit.CVE-2014-1761.D.
Опубликовано в рубрике