Архив

Троянец RUX.30 ворует интернет-пароли

RUX.30 — троянская программа, написанная на Visual Basic 5.0, является по сути утилитой скрытого администрирования (Backdoor). Позволяет осуществлять доступ на удаленный компьютер и воровать пароли для доступа в интернет. Троянец работоспособен только, если в инфицированной системе установлен объект MSWINSCK.OCX.

При запуске троянец устанавливает себя в системе и остается в памяти компьютера, работая в фоновом режиме как системный сервис. Троянец записывает в системный каталог Windows свой файл с именем «FLYING MARQU.SCR» и затем модифицирует WIN.INI, чтобы загружаться каждый раз при перезагрузке системы.

Троянская программа сообщает хакеру IP-адрес зараженной машины через ICQ. В теле трояна содержится закодированная информация о том, что троянец «слушает» порт 22222, а также ICQ-номер удаленного хакера 27536128.

Поскольку серверная компонента трояна, установленная на инфицированном компьютере, всегда активна, злоумышленник, используя ее клиентскую часть, может в любой момент получить доступ к этому компьютеру и осуществлять на нем следующие действия:

  • получать сетевые имена и кешированные пароли (которые использовались пользователем в течение текущего сеанса)
  • открывать/закрывать CD-ROM
  • получать доступ к системному и Windows каталогам
  • осуществлять выход из Windows
  • загружать и запускать на компьютере «жертвы» любые программы (например, трояны/вирусы)

В теле троянской программы содержится следующая текстовая строка:

RUX The TIc.K. TARGET LOCKED, OK LETS GO!

Дополнительную информацию о троянах типа Backdoor см. здесь (Backdoor.BO)

Троянец RUX.30 ворует интернет-пароли

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике