Набор троянов открывает доступ к зараженному компьютеру
11 нояб 2015 17:20 #27733
от ICT
ICT создал тему: Набор троянов открывает доступ к зараженному компьютеру
Специалисты антивирусной компании «Доктор Веб» изучили одну из используемых злоумышленниками схем атаки, в ходе которой использовалось легально распространяемое приложение для организации удаленного доступа. Об этом CNews сообщили в «Доктор Веб». Целый пакет вредоносных программ, получивших общее наименование BackDoor.RatPack, киберпреступники распространяли при помощи эксплойта Exploit.CVE2012-0158.121 в виде документа в формате .RTF, при попытке открыть который на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Примечательно, что этот файл, представляющий собой программу-установщик, имеет действительную цифровую подпись (см. изображение ниже), как, впрочем, почти все файлы из комплекта BackDoor.RatPack), отметили в компании.
При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков, после чего проверяет наличие в системе программ «банк-клиент» нескольких российских кредитных организаций. Если все проверки прошли успешно, установщик скачивает с сервера злоумышленников и запускает на атакуемом компьютере другой установщик в формате NSIS (Nullsoft Scriptable Install System), содержащий еще один набор исполняемых файлов и несколько защищенных паролями архивов. Этот установщик распаковывает архивы и запускает исполняемые файлы. Полезной нагрузкой установщика является несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager — специалисты «Доктор Веб» зафиксировали как минимум три таких варианта с разными конфигурационными настройками. С помощью перехвата ряда системных функций вредоносная программа скрывает значки этой утилиты в области уведомлений и панели задач Windows, чтобы пользователь не мог вовремя ее обнаружить. В компании полагают, что с применением BackDoor.RatPack злоумышленники пытаются получить доступ к банковским счетам и хранящейся на атакованной машине конфиденциальной информации методом удаленного управления зараженным компьютером. Сигнатуры всех входящих в состав BackDoor.RatPack вредоносных файлов добавлены в вирусные базы Dr.Web и потому не представляют опасности для пользователей антивирусных продуктов «Доктор Веб», подчеркнули в компании.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Российский бизнес получит доступ к квантовому компьютеру | 13.72 | Среда, 28 апреля 2021 |
Верховный суд США дал судьям право санкционировать доступ ФБР к любому компьютеру в мире | 13.43 | Пятница, 29 апреля 2016 |
«Яндекс.Лицей» открывает набор в 58 городах | 13.33 | Четверг, 30 августа 2018 |
«Яндекс» открывает набор на летнюю стажировку 2017 года | 13.05 | Пятница, 24 марта 2017 |
Разработчики «МойОфис» выложили в открытый доступ набор из 10 бесплатных шрифтов | 11.77 | Пятница, 16 декабря 2016 |
Разработчики «МойОфис» выложили в открытый доступ набор из 9 бесплатных шрифтов | 11.77 | Пятница, 16 декабря 2016 |
IBM открывает доступ к технологиям для "РТ-Информ" | 11.19 | Пятница, 29 мая 2015 |
«ВКонтакте» открывает доступ к API «Сообщений для бизнеса» | 11.07 | Четверг, 28 января 2016 |
«Мегафон» открывает безлимитный доступ к играм | 11.07 | Вторник, 24 января 2017 |
Okko первым открывает доступ к 8K контенту | 11.07 | Вторник, 12 января 2021 |