Архив

ORION — очередная программа для хакеров

TROJ_ORION (aka BackDoor-IF.svr, ORION, Backdoor.Dynod) — еще одна троянская программа, являющаяся по сути утилитой скрытого администрирования (backdoor).
Троянец, замаскированный под очередной генератор ключей для FRUITYLOOPSPRO, позволяет злоумышленнику удаленно управлять инфицированной машиной.

После запуска троянец записывает свою копию в системный каталог Windows и выводит на экран как бы пользовательский интерфейс генерации серийного номера для программы FRUITYLOOPSPRO. При нажатии кнопки «about» отображается messagebox с заголовком «Keygen»:

Product Info:
Name….: FruityLoops Pro
URL……: http://www.fruityloops.com/
Contact OriON:
E-Mail…….: orion99@mail.com
IRC ERNet..: #OriON2000
Homepage.: http://orion.castlegardens.com

А троянец тем временем записывает файл-«дроппер» — свою копию под именем SYSTRAY.EXE в директории C:WINDOWS и C:WINDOWSSYSTEM. При этом оригинальный файл SYSTRAY.EXE троянец сохраняет в C:WINDOWSSYSTEMUPDATES.

Записанный троянцем «дроппер» выполняется как служебный процесс, запускаясь одновременно с истинной программой системного трея. На зараженной машине троянец открывает и «слушает» порт 1150. Если входящего сигнала от «клиента» не поступает, троянец приступает к «прослушиванию» порта 1151 и т.д. пока не получит необходимый ответ.

Троянец также записывает в C:WINDOWS еще одну свою копию — файл UNDLL.EXE, который сжат UPX-компрессией v1.01 (утилитой для сжатия PE EXE файлов).

ORION — очередная программа для хакеров

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике