Neue Backdoor klaut Dokumente und spioniert Benutzer aus

Frankfurt, 6. Mai 2016

Die Backdoor ist ein Trojaner, der Befehle von Cyber-Kriminellen auf einem infizierten Rechner ausführen kann. In der Regel werden Backdoors zur Einrichtung einer Remote-Kontrolle über einen PC sowie zum Klauen von sensiblen Daten verwendet. Eine davon ist der durch die Virenanalysten von Doctor Web entdeckte Trojaner, der Daten klaut und Benutzer ausspioniert.

Der auf Microsoft Windows abzielende BackDoor.Apper.1 verbreitet sich durch einen Dropper, der eine Datei im Format Microsoft Excel darstellt und einen Makro enthält. Dieser Makro sammelt Bites zu einem selbstextrahierenden Archiv. Das Archiv enthält eine ausführbare Datei mit einer Symantec-Signatur und eine dynamische Bibliothek mit neuen Funktionen der Backdoor. Der Trojaner registriert im Autostart eine ausführbare Datei und lädt eine böswillige Bibliothek in den Hauptspeicher des Rechners.

Das Hauptziel von BackDoor.Apper.1 ist es, Dateien des Benutzers zu klauen. Der Schädling registriert sich seine Applikation für den Autostart und löscht die Installationsdatei.

Nachdem sich BackDoor.Apper.1 gestartet hat, agiert er als Keylogger. Außerdem überwacht der Schädling das Dateisystem. Wenn seine Konfigurationsdatei auf dem PC vorhanden ist, kann BackDoor.Apper.1 alle Änderungen überwachen.

Vor dem Verbindungsaufbau mit dem Server sammelt die Backdoor Daten zum infizierten PC wie Name, Version des Betriebssystems, Prozessor sowie Hauptspeicher- und Festplattengröße. Anschließend sendet er diese Daten an Cyber-Kriminelle und wartet auf ihre Befehle.

Um einen Befehl zu bekommen, sendet der Trojaner eine spezielle Anfrage. Der Schädling kann u.a. eine bestimmte Datei oder ein Verzeichnis auf dem PC des Benutzers an Übeltäter übergeben oder eine Bildschirmaufnahme machen und diese an Cyber-Kriminelle übergeben.

Der Schädling stellt keine Gefahr für unsere Benutzer dar, weil Dr.Web Antivirus den Trojaner entdeckt und löscht.

Mehr zum Trojaner.