Уже на протяжении нескольких месяцев троянец BackDoor.Butirat.91 находится на втором месте в рейтинге самых распространенных угроз, обнаруживаемых на дисках компьютеров многих пользователей. Поэтому сотрудники компании «Доктор Веб» провели исследование этого довольно распространенного вирусного приложения.
Заметим, что BackDoor.Butirat.91 является троянцем-бэдкором, при помощи которого злоумышленники могут загружать и запускать на зараженном компьютере исполняемые файлы, а также красть пароли от FTP-клиентов. Таким образом, обычный пользователь может потерять пароли и многие конфиденциальные данные, а в худшем случае злоумышленники смогут полностью завладеть управлением компьютера.
При запуске вредоносная программа направляет обращение к системному реестру Windows и определяет, не установлена ли уже ее копия. Если же компьютер подтверждает наличие троянца BackDoor.Butirat.91, то процесс установки не проводится. А в случае начала установки BackDoor.Butirat.91 создает в одной из системных папок свою копию и вносит соответствующие изменения в реестр. Это позволяет запускать вредоносную программу автоматически при загрузке Windows.
Для хранилища данных троянец использует отдельный файл, расположенный в папке, в которой расположено и само приложение.
Поле своего успешного запуска троянец устанавливает соединение с сервером хакеров и получает из него зашифрованные директивы. Стоит отметить, что основным назначением BackDoor.Butirat.91, как правило, является кража паролей от таких известных FTP-клиентов как Total Commander, WinSCP, FlashFXP, FAR, Filezilla, SmartFTP, FtpCommander и т.д. Кроме этого, троянец также проводит загрузку из удаленных улов и запуск на зараженном ПК исполняемых файлов и накручивает показатели счетчиков посещаемости страниц различных веб-сайтов. Для того чтобы скачать заданный злоумышленниками файл, вредоносное приложение выполняет три попытки с интервалом 60 секунд.
Заметим, что сигнатура данной угрозы есть в вирусных базах Dr.Web, а это значит, что пользователи антивирусной программы «Доктор Веб» не пострадают от BackDoor.Butirat.91. Однако ввиду широкого распространения опасного приложения, специалисты все-таки рекомендуют пользователям проверить свои компьютеры при помощи антивирусного сканера или любой аналогичной программы.