Архив

TROJ_SUB722: появился продвинутый апдейт хакерской программы

TROJ_SUB722 — новый член многочисленного семейства троянских коней под именем «SubSeven». Все члены этой семейки представляют собой утилиты скрытого администрирования компьютеров в сети (backdoor) с удаленного терминала, по возможностям напоминающие «Backdoor.BO»(aka Back Orifice trojan).

Как и другие backdoor-троянцы, «SUB722» содержит серверную и клиентскую компоненты. Помимо этого этот троянец несколько усовершенствован и имеет новые функциональные возможности по сравнению со своими предшественниками.
Удаленный «пользователь», запуская клиентскую часть троянца, может получать полный доступ на инфицированные компьютеры, на которых установлена серверная компонента троянца. Обе компоненты являются настраиваемыми: т.к. они (компоненты) поддерживают специальные плагины, в них могут быть внесены новые функции. Кроме того, SUB722 содержит функцию EditServer, позволяющую удаленному клиенту создавать собственную версию серверной компоненты и конфигурировать ее дистанционно.

После выполнения серверной части троянца на зараженном компьютере в системный каталог Windows (для Windows 9x) или WindowsNT (для Windows NT) записывается файл троянца, который имеет случайное имя.

Для своего запуска после перезагрузки инфицированной системы троянец применяет один из пяти методов:

  1. модифицирует секцию авто-запуска системного реестра:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRun %randomkeyname%=%windowssystem%»randomname»

    или

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRunServices %randomkeyname%=%windowssystem%»randomname»

  2. модифицирует системные файлы WIN.INI и SYSTEM.INI
  3. создает свою директорию, добавляя в системный реестр ключ:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentversionexplorerUser Shell Folders Common Startup=%trojancreatedfolder%

  4. инсталлирует себя как компонент, создавая в системном реестре ключ:

    HKEY_LOCAL_MACHINESoftwareMicrosoftActive
    SetupInstalled Components %randomkeyname%=%windowssystem%»randomname»

  5. создает копию себя в виде файла «EXPLORER.EXE» в корневом каталоге

С помощью клиентской консоли удаленный хакер подключается к зараженной машине и получает полный контроль над ней. Троянец позволяет выполнять на инфицированном компьютере различные функции в зависимости от установленных на нем плагинов:

  • TROJ_SUB722_P4: App redirect, Netstat, Port redirect, FTP-серверr, менеджер задач (просмотр и прерывание запущенных процессов и приложений), редактор системного реестра (позволяет создавать/удалять ключи системного реестра) и сетевой броузер.
  • TROJ_SUB722_P5: Перехватывание скриншотов (снимков экрана), отслеживание передвижений мыши и просмотр изображений с web-камеры.
  • TROJ_SUB722_P6: Создание эффекта перевернутого экрана, вывод на дисплей картинок, редактирование буфера обмена, печать текста, речевой вывод текста, запуск игры «крестики-нолики».
  • TROJ_SUB722_P7: Открытие Web-броузера, изменение разрешения и цветовой палитры монитора, перезагрузка системы, изменение звуковых установок и установок времени/даты,а также «игра» лампочками на клавиатуре.
  • TROJ_SUB722_P11: Сканирование и запуск сетевых сервисов.
  • TROJ_SUB722_P12: Контроль работы ICQ-клиента.
  • TROJ_SUB722_P8: Загрузка, отключение/замена и отсылка ключей для активации приложений.
  • TROJ_SUB722_P10: Получение кэшированных паролей для скринсэйвера, удаленного доступа к сетям, почтовым серверам.
  • TROJ_SUB722_P1: Захват ICQ-пароля путем подсовывания жертве ложного окна для ввода пароля.
  • TROJ_SUB722_P3: Сетевой монитор (Пакет sniffer)
  • TROJ_SUB722_P9: Сбор различной информации.
  • TROJ_SUB722_P2: Создание эффекта «матрица» при отсылке сообщений жертве.

Используя функцию EditServer хакер может дистанционно контролировать работу серверной компоненты троянца на компьютере-жертве, выполняя при этом следующие действия:

  1. Изменять пароль доступа к «серверу» и порт, через который он работает.
  2. Использовать любой другой порт.
  3. Использовать определенное или случайное имя «сервера».
  4. Назначать метод запуска троянца.
  5. Назначать все сразу или любой из пяти методов оповещения, а именно: 5.1 ICQ, 5.2 Email, 5.3 IRC, 5.4 SIN (статический IP Notifier) и 5.5 CGI (web-уведомление).
  6. «Цеплять» к «серверу» исполняемые модули: любую программу или определенный плагин.
  7. Назначать URL-адреса, с которых серверная компонента троянца может загружать плагины через интернет.
  8. Определять ограничения на команды и инструкции, выполняемые «сервером».
  9. Назначать email-адрес, на который будут отсылаться украденные с компьютера-жертвы пароли, а также перехватываемые значения нажатых клавиш.
  10. Изменять иконку «сервера» и разрешать вывод на дисплей жертвы ложных сообщений об ошибках при первом запуске «сервера» на выполнение.

TROJ_SUB722: появился продвинутый апдейт хакерской программы

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике