Описание вредоносного ПО

Backdoor-JR — троянская программа для удаленного администрирования компьютера-«жертвы»

Backdoor-JR — троянский конь, представляющий собой утилиту удаленного администрирования (backdoor). Распространяется с помощью скрипта: при просмотре закодированной HTML-страницы в электронной почте или web-страницы в интернете, содержащие зловредные VB Script и/или ActiveX. После инфицирования троянец посылает информацию о зараженной машине своему «хозяину» на ICQMAIL, включая список имен пользователей и пароли.

При активизации троянец записывает свою копию с именем «onz.exe» в корневую директорию WINDOWS.

Затем троянец добавляет инструкции в файлы WIN.INI, чтобы всегда загружаться при перезапуске системы:

«run=onz.exe»

и в SYSTEM.INI, чтобы выполняться при запуске Windows Explorer:

«shell=explorer.exe onz.exe»

Помимо этого троянец вносит изменения в системный реестр.

Троянец может выполнять следующие функции:

  • регистрировать нажатия клавиш на контролируемом компьютере, записывая их в файл «C:LOG.TXT» по-видимому с целью восстановления информации об имени пользователя и пароле.
  • открывает на компьютере «жертвы» TCP/IP порт 777
  • посылает на ICQMail сообщение, содержащее информацию о зараженном компьютере:
    IP-адрес, открытые TCP/IP порты, пароли, для установления связи с этой машиной

Backdoor-JR — троянская программа для удаленного администрирования компьютера-«жертвы»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике