BackDoor.Yebot jest rozpowszechniany za pomocą innego malware o nazwie trojan.siggen6.31836. Złośliwa aplikacja podczas uruchomienia wstrzykuje swój kod do procesów svchost.exe, csrss.exe, lsass.exe i explorer.exe. Następnie pobiera i deszyfruje pliki BackDoor.Yebot, tym samym rozpoczynając swoją pracę.
Jak podają specjaliści od zabezpieczeń, wspomniany wirus potrafi uruchamiać na zainfekowanym komputerze serwer FTP, proxy SOCKS5, logować naciśnięcia klawiszy, przechwytywać dane z użyciem wzorów PCRE czy wstrzykiwać niepożądaną zawartość do stron internetowych (podstawiając własne dane). Złośliwe oprogramowanie może również przechwytywać zrzuty ekranu, a następnie wysyłać je na serwer zdalny hakerów.
Według wstępnej analizy stwierdzono, że wirus może być używany jako trojan bankowy, dzięki któremu cyberprzestępcy są w stanie przechwycić informacje płatnicze użytkownika. Jego zastosowanie może być jednak szersze, na co wskazują dość spore możliwości kodu.
Źródło: Doctor Web