Аналитики «Доктор Веб» исследовали бэкдор, написанный на языке Python. Бэкдорами принято называть вредоносные программы, способные выполнять поступающие от злоумышленников команды и предоставлять им возможность несанкционированного управления инфицированным устройством.
Внутри Python.BackDoor.33 хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc. Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.
После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z, затем пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в интернете, включая pastebin.com, docs.google.com и notes.io. Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark, фиксировать нажатия клавиш и делать снимки экрана, загружать дополнительные модули на Python и исполнять их, скачивать файлы и сохранять их на носителе инфицированного устройства, получать содержимое заданной папки, перемещаться по папкам и запрашивать информацию о системе. Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована.