Поделиться
В китайском менеджере загрузок Xunlei скрывается бэкдор
Международная антивирусная компания Eset сообщила об обнаружении потенциально вредоносных модулей в популярном менеджере загрузок Xunlei (Thunder). Компоненты этой программы собирают информацию без ведома пользователя, а также устанавливают дополнительные приложения на Android-устройства. Семейство данных компонентов детектируется решениями Eset NOD32 под общим названием Win32/Kankan, рассказали CNews в компании.
Xunlei (в переводе с китайского — «гром»или «удар молнии») — это файлообменный клиент, разработанный китайской компанией Thunder Networking Technologies. Сегодня сайт Xunlei ежемесячно посещают более 400 млн человек, а по количеству активных пользователей он опережает файлообменный клиент uTorrent, отметили в Eset.
В середине августа эксперты компании обратили внимание на компоненты Xunlei, в поведении которых был замечен необычный функционал. Помимо возможностей, привычных для менеджера загрузок, Xunlei содержит потенциально вредоносные компоненты, используемые в качестве бэкдоров (от англ. backdoor, «черный ход»).
Эти компоненты осуществляют скрытую загрузку и установку на компьютер пользователя дополнительного ПО, а также пересылают информацию о системе на удаленный сервер. Кроме того, специалисты Eset обнаружили модуль, который может устанавливать приложения не только на сам ПК, но и на подключенное к нему устройство под управлением ОС Android. Все эти действия осуществляются без ведома пользователя, подчеркнули в компании.
Активность Win32/Kankan
Следует отметить, что данные компоненты подписаны цифровым сертификатом компании-разработчика Xunlei Networking Technologies, что придает им статус доверенных файлов.
Анализ компонентов загрузчика показал, что для их запуска и обеспечения «выживаемости» в системе был использован пакет решений Microsoft Office. Когда пользователь запускает одно из приложений этого программного пакета — Word, Excel или любое другое, то в память, маскируясь под плагин этого приложения, подгружается специальная динамическая библиотека (dll, dynamic-link library) загрузчика Xunlei. Эта библиотека содержит функционал бэкдора, с помощью которого она отправляет информацию об ОС пользователя на удаленный сервер. Кроме того, библиотека может распознавать программное обеспечение, способное отследить ее сомнительную активность.
Другой запускаемый компонент Xunlei — своего рода «апдейтер» — осуществляет загрузку на компьютер пользователя сторонних исполняемых файлов с их дальнейшей активацией. После выполнения этих действий запускается последний компонент, так называемый «сервис», отвечающий за исполнение различных команд.
Скриншоты мобильных приложений, устанавливаемых при помощи Xunlei
Особый интерес представляет команда install phone app, применяемая для загрузки мобильных приложений (apk-файлов) с последующей установкой на Android-устройство, подключенное к компьютеру по USB. Данные приложения, в том числе, имеют рекламную направленность. Эти действия также совершаются в скрытом режиме.
Решения Eset NOD32 классифицируют приложение Xunlei как нежелательное; его потенциально вредоносные модули были добавлены в антивирусную базу под именем Win32/Kankan.
Поделиться
Короткая ссылка
