Троянец BackDoor.IRC.Codex.1 крадет пароли FTP-клиентов и участвует в DDoS-атаках

Компания «Доктор Веб» сообщила о распространении вредоносной программы BackDoor.IRC.Codex.1, способной запускать на инфицированной машине загруженные из Интернета файлы, участвовать в DDoS–атаках и красть пароли от популярных FTP-клиентов и данные веб-форм. Троянец функционально похож на другую популярную вредоносную программу, BackDoor.IRC.Aryan.1, заразившую большое число компьютеров по всему миру.

Как и его предшественники, BackDoor.IRC.Codex.1 использует для координации своих действий технологию IRC (Internet Relay Chat). Запустившись на компьютере жертвы, троянец ищет в памяти и удаляет процесс командного интерпретатора Windows (cmd.exe), после чего сохраняет свою копию в одной из папок и модифицирует реестр Windows, прописывая путь к месту расположения исполняемого файла в ветвь, отвечающую за автоматическую загрузку приложений. При этом BackDoor.IRC.Codex.1 постоянно следит за состоянием этой ветви реестра и восстанавливает необходимые значения в случае их удаления.

После запуска BackDoor.IRC.Codex.1 выполняет ряд манипуляций, направленных на противодействие анализу этой вредоносной программы: троянец ищет в памяти инфицированного компьютера процессы некоторых отладчиков, а также определяет, не запущен ли он в виртуальной машине. Также троянец проверяет наличие себя в операционной системе, сравнивая папку, из которой он был запущен, с директорией, в которую он сохраняет собственную копию. Затем BackDoor.IRC.Codex.1 встраивает собственную процедуру во все активные процессы, а также запускает ее в виде отдельного потока в собственном процессе.