Архив

ORION — очередная программа для хакеров

TROJ_ORION (aka BackDoor-IF.svr, ORION, Backdoor.Dynod) — еще одна троянская программа, являющаяся по сути утилитой скрытого администрирования (backdoor).
Троянец, замаскированный под очередной генератор ключей для FRUITYLOOPSPRO, позволяет злоумышленнику удаленно управлять инфицированной машиной.

После запуска троянец записывает свою копию в системный каталог Windows и выводит на экран как бы пользовательский интерфейс генерации серийного номера для программы FRUITYLOOPSPRO. При нажатии кнопки «about» отображается messagebox с заголовком «Keygen»:

Product Info:
Name….: FruityLoops Pro
URL……: http://www.fruityloops.com/
Contact OriON:
E-Mail…….: orion99@mail.com
IRC ERNet..: #OriON2000
Homepage.: http://orion.castlegardens.com

А троянец тем временем записывает файл-«дроппер» — свою копию под именем SYSTRAY.EXE в директории C:WINDOWS и C:WINDOWSSYSTEM. При этом оригинальный файл SYSTRAY.EXE троянец сохраняет в C:WINDOWSSYSTEMUPDATES.

Записанный троянцем «дроппер» выполняется как служебный процесс, запускаясь одновременно с истинной программой системного трея. На зараженной машине троянец открывает и «слушает» порт 1150. Если входящего сигнала от «клиента» не поступает, троянец приступает к «прослушиванию» порта 1151 и т.д. пока не получит необходимый ответ.

Троянец также записывает в C:WINDOWS еще одну свою копию — файл UNDLL.EXE, который сжат UPX-компрессией v1.01 (утилитой для сжатия PE EXE файлов).

ORION — очередная программа для хакеров

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике