Комплексний вплив троянських вірусів дозволяє відкрити доступ до ПК

З усього розмаїття програм, що завдають шкоди персональному пристрою, слід звернути увагу на особливий підрозділ, які поодинці не завдають ніякої шкоди. Але в корисливих цілях вони можуть бути використані для порушення прав користувачів. До такої категорії належать програми віддаленого адміністративного доступу до системи. Така категорія програм може застосовуватися на законних підставах – для управління функціоналом комп’ютера через мережу, так і для шкідливих цілей з метою отримання викупу. Співробітниками компанії «Доктор Веб» був виконаний аналіз подібних нападів, при яких застосовувалися легально випускається програмне забезпечення, яке здійснює віддалений доступ до комп’ютера.

Зібрані в одну групу шкідливі програми отримали назву BackDoor.RatPack, зловмисники виконали поширення документа по експлойтів Exploit.CVE2012-0158.121 під виглядом текстового документа. Спроба відкриття цього документа приводила до розпакуванні і збереженню на жорсткому носії групи програм. Було відзначено, що документ, який насправді був програмою монтажником, мав, за аналогією з усіма BackDoor.RatPack файлами, дійсну цифровий підпис.

Після того, як файл установки шкідливої ​​програми запускався, він виконував пошук на комп’ютері жертви віртуальних машин, відладчика, програми-монітора. Після цього зусилля шкідника прямували на пошук програми «банк-клієнт» і певної кредитної організації. У разі, коли параметри комп’ютера задовольняли запитам шкідливого файлу, він запускав з серверів зловмисника іншу програму, яку надалі знову таки встановлював на комп’ютер – це файл у форматі NSIS (Nullsoft Scriptable Install System). Ця програма установки містила в собі власний набір файлів і запаролених архіви. Після скачування програма виконувала розпакування архівів і запускала діючий алгоритм.

Установник містить корисну поширювану утиліту Remote Office Manager. Аналіз цієї утиліти в компанії «Доктор Веб» змогли виявити близько трьох різновидів такої утиліти, що відрізняються своїми конфігураціями і особливостями налаштувань. Завдяки захопленню управління операційною системою, програма здатна приховати своє перебування на комп’ютері і жорсткому носії. Це не дає користувачеві можливості виявити його до того як буде вже пізно. Передбачається, що використовуючи програму BackDoor.RatPack зломщики намагаються дістатися до банківського рахунку або інших фінансових коштів користувача на комп’ютері, особистих даних користувача.

Незважаючи на небезпеку цих сигнатур, що працюють у складі програми BackDoor.RatPack, власникам популярних антивірусних програм на своїх комп’ютерах нема про що турбуватися. Після ряду пригод і поширення атак за допомогою BackDoor.RatPack в мережі, фахівці компанії виконали комплексний аналіз виниклої небезпеки і включили всі можливі сигнатури в бази вірусних оновлень. Ці оновлення припиняють будь-які спроби первинного файлу програми встановити на комп’ютері шкідливі утиліти.

Ссылка на основную публикацию