Сегодня специалисты компании «Доктор Веб» рассказали о новом троянце BackDoor.Hser.1, который позволяет выполнять различные команды злоумышленников и похищать ценную информацию. BackDoor.Hser.1 распространялся хакерами в ходе атаки, которая была направлена на крупный российский концерн, включающий оборонные предприятия.
Троянец распространялся в почтовом сообщении с заголовком «Дополнение к срочному поручению от 30.03.15 № УТ-103», в котором получателям предлагали ознакомиться с перечнем какого-то оборудования - в приложении присутствовал документ Excel под названием «Копия оборудование 2015.xls».
При попытке открытия файла стартует процесс excel.exe и компьютер заражается вышеупомянутым троянцем, который оказывается под именем npkim.dll в папке C:/Windows/Tasks и прописывается в автозагрузке. Затем BackDoor.Hser.1 устанавливает соединение с сервером злоумышленников, передавая IP-адрес, имя и версию ОС атакованного компьютера, наличие в сети прокси-сервера и так далее, а также ждет дальнейших указаний. По команде BackDoor.Hser.1 может переслать хакерам перечень активных процессов, скачать и запустить другое вредоносное приложение, а также передать злоумышленникам дистанционное управление ПК.
BackDoor.Hser.1 уже включен в вирусную базу Dr.Web.