Архив

CAINABEL151: программа для восстановления паролей имеет свойства троянца

TROJ_CAINABEL151 представляет собой приложение под Windows 9x для восстановления паролей и управления ими. Программа состоит из двух компонентов: серверного и клиентского. С помощью данного приложения удаленный «пользователь», установив у себя клиентскую часть — инсталляционный пакет CAIN151.EXE, способен осуществить дистанционный ограниченный доступ на инфицированную систему (где инсталлирована серверная компонента программы — «Abel») с возможностью находить и изменять пароли без ведома пользователя, что позволяет квалифицировать его как троянскую программу.

Удаленный «пользователь» инсталлирует клиентскую часть троянца — программу Cain v1.51 в директорию Cain, которая по умолчанию создается в Program Files. Затем в эту директорию троянец распаковывает следующие файлы:

CAIN.EXE
ABEL.EXE
UNINSTAL.EXE
MANUAL.RTF
WordlistsWordlist.txt

Троянец создает ярлыки программы (shortcut) в меню Start и регистрирует себя в системном реестре:

HKEY_CURRENT_USERSoftwareBreak-DanceCain

Клиентская часть троянской программы «Cain» имеет графический пользовательский интерфейс, который позволяет удаленному «пользователю» осуществлять на инфицированной машине следующие функции:

  • отыскивать и расшифровывать screensaver-пароль, кэшированные пароли, пароли для локального и удаленного доступа
  • определять текущего Windows-пользователя и пользователя Microsoft Network
  • изменять Windows-пароль
  • изменять screen saver пароль
  • изменять Microsoft Network пароль
  • изменять password caching
  • подключать/отключать сетевые диски
  • входить в/выходить из сеть(и)
  • Log-off/Restart/Shutdown Windows

Серверная компонента троянца «Abel» после выполнения на инфицированной машине выводит предупреждающее сообщение с кнопками «Yes» и «No»:

Заголовок: ABEL
Тело сообщения:

WARNING! When this program is running other users on the network could find your passwords, are you sure you want to proceed?

При клике пользователя на кнопку «Yes», отображается окошко, содержащее следующее:

Title: Abel
PWL file: C:WINDOWSINFECTPC.PWL
Username: INFECT PC

Если это окно минимизировать, то оно появляется в трее (system tray) как значок в виде шестиугольника с синей буквой «A» в центре.

Троянец «сидит» в памяти инфицированного компьютера и слушает TCP-порт 666, ожидая команд от удаленного пользователя. Троянец остается в памяти как процесс, видимый в списке задач под именем «Abel».

CAINABEL151: программа для восстановления паролей имеет свойства троянца

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике