Архив

TROJ_INCOMM16A.S: зловредный троян позволяет хакеру делать на вашей машине все, что ему вздумается

TROJ_INCOMM16A.S — троянский конь, представляющий собой утилиту скрытого администрирования (backdoor) компьютеров в сети с удаленного терминала. Троянец состоит из серверной и клиентской компонент. Серверная часть инфицирует компьютеры, а клиентская позволяет злоумышленнику удаленно подключаться к зараженным машинам и получать оттуда различную информацию, а также выполнять на них всевозможные действия.

После выполнения серверной компоненты на компьютере-жертве троянец записывает в каталог Windows свою копию в виде файла SERVER16.EXE и запускает этот файл на выполнение. Вследствие этого на зараженном компьютере будут созданы два файла, содержащие конфигурационные установки для «сервера»:

SYSMON.DRV
NT.INI

Для того, чтобы выполняться после каждого последующего старта системы, троянец записывает в секцию авто-запуска системного реестра ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunrun=C:%windir%server16.exe

где %windir% — каталог Windows

Троянец также модифицирует файл WIN.INI, добавляя в него команду:

Run=server16.exe

И затем создает в системном реестре еще один ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsAppTitle1=»RsApi32″

После этого троянец, используя ICQ, посылает своему хозяину уведомление об очередной, попавшеся на крючок жертве:

From: 1.6.5 Srv16
Subject: Ready for Action
Message: {PORT:%Sever TCP port%}
{Victim: Srv16b4}
{Version:1.6.5}
{Ip:%IP-адрес жертвы%}

Троянец остается резидентно в памяти Windows как скрытый процесс и работает незаметно для пользователя зараженного компьютера, будучи невидимым в списке задач.

С помощью специального интерфейса удаленный хакер, используя клиентскую часть троянца, может подключаться к зараженным системам и выполнять на них следующие действия:

  • запускать FTP-сервис (используя 22 TCP-порт)
  • вести логи нажатий клавиш на клавиатуре
  • посылать комбинации нажатий клавиш активным приложениям
  • получать параметры удаленного доступа
  • получать системную информацию
  • получать список текущих процессов
  • перехватывать изображения дисплея
  • переговариваться с пользователем инфицированной машины
  • искать файлы
  • закачивать плагины
  • закачивать/скачивать/выполнять файлы
  • уничтожать файлы/каталоги
  • переворачивать «вверх ногами» изображение экрана
  • изменять установки рабочего стола, например — системные цвета
  • изменять установки мыши, например перенастраивать значения кнопок на противоположные
  • выводить на экран ложную кнопку «Пуск» и Панель задач
  • изменять системную дату
  • проигрывать звуковые файлы
  • скрывать/заменять системный трей
  • получать пароли
  • «играть» лампочками на клавиатуре
  • управлять активными окнами (закрывать, передвигать, минимизировать, раскрывать на весь экран)
  • отключать/включать монитор
  • издавать звуки спикером
  • открывать интернет-браузер, устанавливать стартовую страницу и заголовок окна браузера
  • делать Logoff/shutdown/restart системы
  • закрывать «сервер»
  • изменять конфигурацию «сервера»

TROJ_INCOMM16A.S: зловредный троян позволяет хакеру делать на вашей машине все, что ему вздумается

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике