Архив

Троянец DARKFTP подбирается к жертве через FTP

DARKFTP — троянская Win32-программа, являющаяся утилитой удаленного администрирования (backdoor). Для своей работы использует FTP и IRC.

При запуске инсталлируется в систему: копирует себя в каталог системный Windows под именем DARKFTP.EXE и регистрирует этот файл в каталоге авто-запуска системного реестра.

Троянец добавляет множество своих ключей в системный реестр для возможности установления соединения по IRC и FTP с инфицированным компьютером.

HKEY_LOCAL_MACHINE_SoftwareDataLogic
ActiveSubControlArrays IRCSRV=194.247.160.11

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays IRCPRT=6667

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays IRCCHN=#whidarkftp

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays IRCUSE=1

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPRT=21

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPMUS=99

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPUSR=anonymous

HKEY_LOCAL_MACHINESoftwareDataLogic
ActiveSubControlArrays FTPPWD=bill@sux.com

Зная IP-адрес зараженной машины злоумышленник через FTP-порт может получить удаленный доступ к ней.

Троянец DARKFTP подбирается к жертве через FTP

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике