Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Zestaw trojanów oferuje dostęp do zaatakowanych komputerów

11 listopada 2015

Wśród ogromnej liczby różnorodnych złośliwych programów znajduje się jedna grupa, obejmująca aplikacje, które obecnie nie są złośliwe, ale wciąż mogą być wykorzystane przez cyberprzestępców w realizowaniu ich nielegalnych celów. Ta kategoria zawiera narzędzia do zdalnego administrowania, które mogą być użyte nie tylko z dobrymi intencjami, ale również w celu zdalnego kontrolowania komputerów bez wiedzy ich użytkowników. Analitycy bezpieczeństwa Doctor Web przebadali jeden schemat ataku, w którym użyto legalnego narzędzia administracyjnego.

Z pomocą exploita Exploit.CVE2012-0158.121, cyberprzestępcy zdołali rozdystrybuować cały pakiet złośliwych programów, który został nazwany BackDoor.RatPack i ukrywał się pod postacią dokumentu w formacie RTF. Po otwarciu tego dokumentu na komputerze ofiary następowało odszyfrowanie i zapisanie złośliwego pliku. Warto zauważyć, że ten plik, będący w rzeczywistości instalatorem, posiada ważny podpis cyfrowy (jak prawie wszystkie pozostałe pliki z pakietu BackDoor.RatPack).

screen BackDoor.RatPack #drweb

Tuż po uruchomieniu instalator skanuje system pod kątem maszyn wirtualnych, programów monitorujących i debuggerów. Następnie inicjuje wyszukiwanie aplikacji do bankowości online pochodzących od kilku rosyjskich organizacji finansowych. Jeśli wszystkie te testy zakończą się powodzeniem, instalator podłącza się do zdalnego serwera i pobiera oraz uruchamia kolejnego instalatora w formacie NSIS (Nullsoft Scriptable Install System), zawierającego kilka plików wykonywalnych i kilka archiwów chronionych hasłem. Ten drugi instalator wypakowuje pliki wykonywalne i uruchamia je.

Instalator zawiera w sobie modyfikację programu shareware nazwanego Remote Office Manager. Analitycy bezpieczeństwa Doctor Web wykryli co najmniej trzy wersje tego programu różniące się ustawieniami w jego konfiguracji. Przechwytując kilka funkcji systemowych, ten złośliwy program jest zdolny do ukrywania skrótów do tego narzędzia w pasku zadań Windows i obszarze powiadomień, zapobiegając wykryciu programu przez użytkownika. Można przypuszczać, że cyberprzestępcy wykorzystali BackDoor.RatPack do wykradania informacji bankowych i innych poufnych danych poprzez zdalne kontrolowanie zaatakowanej maszyny.

Sygnatury wszystkich złośliwych plików należących do BackDoor.RatPack zostały dodane do bazy wirusów Dr.Web i nie stanowią już zagrożenia dla użytkowników Dr.Web.

Więcej na temat tego zagrożenia

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A