Архив

WINMITE.10 — опасная хакерская программа

«WINMITE.10» (он же: «Backdoor.WindowsMite», «BackDoor-EB» или «Windows Mite Server») — троянский конь, позволяющий злоумышленнику получать удаленный доступ на инфицированный компьютер и выполнять на нем различные действия. Позволяет просматривать содержимое дисков пораженного компьютера, копировать (воровать) файлы, уничтожать информацию и т.д. Троянец маскируется под специальную стандартную программу «Windows Registry Checker tool» (Scanreg.exe). Эта программа включена в стандартную установку Windows 98/Me и служит для проверки и восстановления системных файлов и системного реестра Windows.

Троянец, после выполнения на зараженном компьютере его серверной компоненты, перезаписывает оригинальный Windows Registry Checker своей копией — SCANREGW.EXE. Кроме того, модифицирует системный реестр, добавляя в него свои ключи:

HKEY_LOCAL_MACHINESoftwareMicrosoft
DirectOpenGLDirectX=dword:00000000

HKEY_LOCAL_MACHINESoftwareMicrosoftDirectOpenGL
SettingsAPPID=dword:0000fffa

Затем троянец остается резидентным в памяти Windows и продолжает работать в фоновом режиме, как сервис, оставаясь невидимым в списке задач и загружаясь каждый раз при старте системы.

Клиентская часть троянца позволяет удаленному хакеру с помощью специального интерфейса контролировать зараженный компьютер (на котором установлена серверная компонента троянца). Получив доступ к зараженной машине злоумышленник может выполнять на нем следующие действия:

  • закрывать/удалять серверную компоненту
  • закачивать/скачивать/удалять файлы
  • просматривать директории
  • получать значение системного времени
  • получать ICQ UIN
  • открывать/закрывать CD-ROM
  • отключать/включать системное меню
  • делать Logoff/shutdown/restart
  • скрывать/показывать/удалять панель задач
  • отключать/включать мышь
  • отключать/включать монитор
  • получать имена пользователей
  • удалять системные файлы Windows, такие как: win.com, user.dat, system.dat
  • уничтожить систему
  • получать список паролей

WINMITE.10 — опасная хакерская программа

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике