Архив

TROJ_LATINUS.SVR: доведет до белого каления кого угодно

TROJ_LATINUS.SVR — серверная компонента троянской backdoor-программы, которая инсталлирует себя на компьютере-жертве в каталог Windows как MSLAT.EXE. Троянец модифицирует системный реестр таким образом, что троянская программа выполняется каждый раз при старте системы. Троянец открывает два коммуникационных порта, чтобы обеспечить соединение с клиентской компонентой, с помощью которой хакер может получить доступ и удаленно контролировать компьютер-жертву.

Троянец добавляет в системный реестр ключ:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
«MS HTML = C:WINDOWSmslat.exe»

Затем открывает на зараженной машине два TCP-порта: 11831 и 29559, «слушает» их, ожидая команд удаленного «клиента».

Когда связь между «клиентом» и «сервером» установлена, удаленный хакер получает доступ к компьютеру-жертве и затем может выполнять на нем следующие действия:

  • Скрывать/показывать иконки на Рабочем Столе (desktop)
  • Скрывать/показывать меню Start, панель задач, иконки из трея, часы
  • Включать/выключать монитор
  • Блокировать/разблокировать клавиши и их сочетания: Ctrl+Alt+Del, ScrollLock, CapsLock, NumLock
  • Открывать/закрывать CD-ROM устройство
  • Очищать/ изменять содержимое буфера обмена, блокировать/разблокировать запись в буфер обмена
  • Изменять системное время
  • Менять/восстанавливать назначение кнопок мышки
  • Модифицировать конфигурацию мыши
  • Закрывать, показывать, скрывать, активировать, деактивировать, минимизировать окна, изменять их заголовок
  • Блокировать любую клавишу или клавиатуру полностью
  • Активировать/деактивировать screensaver
  • Открывать меню Start
  • Открывать Web-браузер
  • Изменять или удалять обои Рабочего стола (wallpaper)
  • Изменять имя компьютера
  • Проигрывать WAV-файлы
  • Переименовывать или удалять файлы
  • Изменять разрешение монитора и системные цвета
  • Выводить на экран текст
  • Открывать/закрывать чат-окно

Этот троянец помимо прочего является «клавиатурным шпионом». Он перехватывает нажатия клавиш, ищет и ворует системные пароли.

TROJ_LATINUS.SVR: доведет до белого каления кого угодно

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике