Компания «Доктор Веб» предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная ее функция – выполнение поступающих от злоумышленников команд, и перехват нажимаемых пользователем клавиш (кейлоггинг).
Проникнув на инициируемый компьютер, троянец запускает файл temp.exe, предназначенный для обхода системы контроля учетных записей пользователей (User Accounts Control, UAC). Он извлекает из ресурсов библиотеку для обхода UAC и встраивается в процесс explorer.exe. После этого данная библиотека сохраняется в одной из системных папок. Далее, при запуске системной утилиты Sysprep, она запускает вредоносное приложение ps.exe, определенное экспертами как Trojan.MulDrop4.61259. В свою очередь, троянец сохраняет в другую папку еще одну библиотеку, которую регистрирует в реестре Windows в качестве службы с именем «Net Security Service» и описанием: «keep watch on system security and configuration.if this services is stopped, protected content might not be down loaded to the device». Именно в этой библиотеке сосредоточен основной вредоносный функционал бэкдора.
После успешного запуска BackDoor.Saker.1 собирает и передаёт злоумышленникам сведения об инфицируемом компьютере, включая версию Windows, тактовую частоту процессора, объём физической оперативной памяти, имя компьютера, имя пользователя, серийный номер жесткого диска.