La compañía Doctor Web advierte sobre la existencia del programa maligno BackDoor.Saker.1 que es capaz de pasar por el Control de Cuentas de Usuario (UAC) e interceptar las pulsaciones del teclado (keylogger).
Como explica Doctor Web en su blog, en un sistema infectado, el troyano abre el archivo temp.exe para evitar el UAC, extrae una biblioteca e inyecta su código en el proceso explorer.exe, después de lo cual, la biblioteca se guarda en una carpeta del sistema. Entonces, al lanzar la utilidad SYSREP, el código de la biblioteca lanza la aplicación maligna ps.exe que ha sido detectada por Dr.Web como Trojan.MulDrop4.61259. A su vez, este archivo guarda otra biblioteca en una carpeta diferente. El archivo de biblioteca se ha registrado en el registro de Windows como un servicio con el nombre de “Servicio de Seguridad de Red”, el cual contiene la principal carga de backdoor.
Cuando se inicia, BackDoor.Saker.1 recoge información sobre el sistema comprometido, incluyendo la versión de Windows, la frecuencia de la CPU, la memoria RAM disponible, nombre del equipo, inicio de sesión de usuario y el número de serie del disco duro, y la transmite a los criminales. A continuación, el troyano crea un archivo en una carpeta del sistema en el que se registran las pulsaciones de teclado del usuario. Después de esto, el backdoor espera la respuesta de un servidor remoto, que puede ordenar al backdoor reiniciarse, apagarse, sustraerse, iniciar un subproceso independiente para ejecutar comandos a través de un shell, o incluso ejecutar su propio gestor de archivos que se puede subir archivos de una máquina infectada, descargar archivos a través de la red, crear carpetas y eliminar, mover y ejecutar archivos.
