Архив

Хакеру в помощь: TROJ_KRASS

Trend Micro сообщает о появлении новой троянской программы — KRASS.

Новый троянец KRASS является утилитой удаленного администрирования инфицированных компьютеров в Сети (Backdoor).

Троян состоит из двух частей: клиентской и серверной.
Основной частью трояна является программа с хитрым именем «Explorer.EXE» — это основная «серверная» компонента троянца, которая ждет вызовов от удаленных «клиентов».

Серверная часть позволяет удаленному «клиенту» управлять компьютером-жертвой удаленно, используя для этого 456 порт. Серверная программа «слушает» этот порт, чтобы установить соединение с клиентской компонентой. Установив связь, удаленный клиент может осуществлять:

  • полный доступ к диску (запись/чтение файлов)
  • уничтожение файлов/директорий
  • запуск приложений
  • загрузку файлов (Download)
  • отслеживание процессов, запущенных на компьютере-жертве
  • получение RAS-паролей (пароли удаленного доступа)

Клиентская компонента троянца содержит некоторые «полезные» функции, позволяющие использовать ее автономно. Она имеет опцию для изменения заголовков любых окон, свойств или кнопок.

Серверная компонента имеет скрытый переключатель, который позволяет отключить для клиентской программы доступ к любому диску. Тогда серверная программа становится практически бесполезной, единственное, что она может выполнять в этом случае — это отслеживание процессов, запущенных на инфицированном компьютере. Чтобы активизировать эту опцию, необходимо добавить переключатель /SECRET в командную строку, тогда программа покажет четыре опции:

  • Disable RAS Password (отключить доступ к RAS-паролям)
  • Disable Disk Access (отключить доступ к диску)
  • Disable File Deleting (отключить удаление файлов)
  • загрузку файлов (Download)
  • Disable Button Clicking (отключить нажатие кнопок)

Обе программы не изменяют никаких файлов и могут быть легко закрыты. Серверную программу можно закрыть простым нажатием на клавишу «X» или Ctrl-Alt-Del. Клиентская часть закрывается выбором — «exit».

Хакеру в помощь: TROJ_KRASS

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике