DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Zestaw trojanów oferuje dostęp do zaatakowanych komputerów

11 listopada 2015

Wśród ogromnej liczby różnorodnych złośliwych programów znajduje się jedna grupa, obejmująca aplikacje, które obecnie nie są złośliwe, ale wciąż mogą być wykorzystane przez cyberprzestępców w realizowaniu ich nielegalnych celów. Ta kategoria zawiera narzędzia do zdalnego administrowania, które mogą być użyte nie tylko z dobrymi intencjami, ale również w celu zdalnego kontrolowania komputerów bez wiedzy ich użytkowników. Analitycy bezpieczeństwa Doctor Web przebadali jeden schemat ataku, w którym użyto legalnego narzędzia administracyjnego.

Z pomocą exploita Exploit.CVE2012-0158.121, cyberprzestępcy zdołali rozdystrybuować cały pakiet złośliwych programów, który został nazwany BackDoor.RatPack i ukrywał się pod postacią dokumentu w formacie RTF. Po otwarciu tego dokumentu na komputerze ofiary następowało odszyfrowanie i zapisanie złośliwego pliku. Warto zauważyć, że ten plik, będący w rzeczywistości instalatorem, posiada ważny podpis cyfrowy (jak prawie wszystkie pozostałe pliki z pakietu BackDoor.RatPack).

screen BackDoor.RatPack #drweb

Tuż po uruchomieniu instalator skanuje system pod kątem maszyn wirtualnych, programów monitorujących i debuggerów. Następnie inicjuje wyszukiwanie aplikacji do bankowości online pochodzących od kilku rosyjskich organizacji finansowych. Jeśli wszystkie te testy zakończą się powodzeniem, instalator podłącza się do zdalnego serwera i pobiera oraz uruchamia kolejnego instalatora w formacie NSIS (Nullsoft Scriptable Install System), zawierającego kilka plików wykonywalnych i kilka archiwów chronionych hasłem. Ten drugi instalator wypakowuje pliki wykonywalne i uruchamia je.

Instalator zawiera w sobie modyfikację programu shareware nazwanego Remote Office Manager. Analitycy bezpieczeństwa Doctor Web wykryli co najmniej trzy wersje tego programu różniące się ustawieniami w jego konfiguracji. Przechwytując kilka funkcji systemowych, ten złośliwy program jest zdolny do ukrywania skrótów do tego narzędzia w pasku zadań Windows i obszarze powiadomień, zapobiegając wykryciu programu przez użytkownika. Można przypuszczać, że cyberprzestępcy wykorzystali BackDoor.RatPack do wykradania informacji bankowych i innych poufnych danych poprzez zdalne kontrolowanie zaatakowanej maszyny.

Sygnatury wszystkich złośliwych plików należących do BackDoor.RatPack zostały dodane do bazy wirusów Dr.Web i nie stanowią już zagrożenia dla użytkowników Dr.Web.

Więcej na temat tego zagrożenia

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments