Архив

ORION — очередная программа для хакеров

TROJ_ORION (aka BackDoor-IF.svr, ORION, Backdoor.Dynod) — еще одна троянская программа, являющаяся по сути утилитой скрытого администрирования (backdoor).
Троянец, замаскированный под очередной генератор ключей для FRUITYLOOPSPRO, позволяет злоумышленнику удаленно управлять инфицированной машиной.

После запуска троянец записывает свою копию в системный каталог Windows и выводит на экран как бы пользовательский интерфейс генерации серийного номера для программы FRUITYLOOPSPRO. При нажатии кнопки «about» отображается messagebox с заголовком «Keygen»:

Product Info:
Name….: FruityLoops Pro
URL……: http://www.fruityloops.com/
Contact OriON:
E-Mail…….: orion99@mail.com
IRC ERNet..: #OriON2000
Homepage.: http://orion.castlegardens.com

А троянец тем временем записывает файл-«дроппер» — свою копию под именем SYSTRAY.EXE в директории C:WINDOWS и C:WINDOWSSYSTEM. При этом оригинальный файл SYSTRAY.EXE троянец сохраняет в C:WINDOWSSYSTEMUPDATES.

Записанный троянцем «дроппер» выполняется как служебный процесс, запускаясь одновременно с истинной программой системного трея. На зараженной машине троянец открывает и «слушает» порт 1150. Если входящего сигнала от «клиента» не поступает, троянец приступает к «прослушиванию» порта 1151 и т.д. пока не получит необходимый ответ.

Троянец также записывает в C:WINDOWS еще одну свою копию — файл UNDLL.EXE, который сжат UPX-компрессией v1.01 (утилитой для сжатия PE EXE файлов).

ORION — очередная программа для хакеров

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике