Набор троянов открывает доступ к зараженному компьютеру

11 нояб 2015 17:20 #27733 от ICT
Специалисты антивирусной компании «Доктор Веб» изучили одну из используемых злоумышленниками схем атаки, в ходе которой использовалось легально распространяемое приложение для организации удаленного доступа. Об этом CNews сообщили в «Доктор Веб». Целый пакет вредоносных программ, получивших общее наименование BackDoor.RatPack, киберпреступники распространяли при помощи эксплойта Exploit.CVE2012-0158.121 в виде документа в формате .RTF, при попытке открыть который на компьютере жертвы расшифровывался и сохранялся вредоносный файл. Примечательно, что этот файл, представляющий собой программу-установщик, имеет действительную цифровую подпись (см. изображение ниже), как, впрочем, почти все файлы из комплекта BackDoor.RatPack), отметили в компании.
Вложенный файл:
При запуске инсталлятор пытается выявить присутствие на атакуемом компьютере виртуальных машин, программ-мониторов и отладчиков, после чего проверяет наличие в системе программ «банк-клиент» нескольких российских кредитных организаций. Если все проверки прошли успешно, установщик скачивает с сервера злоумышленников и запускает на атакуемом компьютере другой установщик в формате NSIS (Nullsoft Scriptable Install System), содержащий еще один набор исполняемых файлов и несколько защищенных паролями архивов. Этот установщик распаковывает архивы и запускает исполняемые файлы. Полезной нагрузкой установщика является несколько вариантов вполне легальной условно-бесплатной утилиты Remote Office Manager — специалисты «Доктор Веб» зафиксировали как минимум три таких варианта с разными конфигурационными настройками. С помощью перехвата ряда системных функций вредоносная программа скрывает значки этой утилиты в области уведомлений и панели задач Windows, чтобы пользователь не мог вовремя ее обнаружить. В компании полагают, что с применением BackDoor.RatPack злоумышленники пытаются получить доступ к банковским счетам и хранящейся на атакованной машине конфиденциальной информации методом удаленного управления зараженным компьютером. Сигнатуры всех входящих в состав BackDoor.RatPack вредоносных файлов добавлены в вирусные базы Dr.Web и потому не представляют опасности для пользователей антивирусных продуктов «Доктор Веб», подчеркнули в компании. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Российский бизнес получит доступ к квантовому компьютеру13.71Среда, 28 апреля 2021
    Верховный суд США дал судьям право санкционировать доступ ФБР к любому компьютеру в мире13.43Пятница, 29 апреля 2016
    «Яндекс.Лицей» открывает набор в 58 городах13.32Четверг, 30 августа 2018
    «Яндекс» открывает набор на летнюю стажировку 2017 года13.04Пятница, 24 марта 2017
    Разработчики «МойОфис» выложили в открытый доступ набор из 10 бесплатных шрифтов11.77Пятница, 16 декабря 2016
    Разработчики «МойОфис» выложили в открытый доступ набор из 9 бесплатных шрифтов11.77Пятница, 16 декабря 2016
    IBM открывает доступ к технологиям для "РТ-Информ"11.19Пятница, 29 мая 2015
    «ВКонтакте» открывает доступ к API «Сообщений для бизнеса»11.07Четверг, 28 января 2016
    «Мегафон» открывает безлимитный доступ к играм11.07Вторник, 24 января 2017
    Okko первым открывает доступ к 8K контенту11.07Вторник, 12 января 2021

    Мы в соц. сетях