Комплексное воздействие троянских вирусов позволяет открыть доступ к ПК

Из всего разнообразия программ, наносящих вред персональному устройству, следует обратить внимание на особый подраздел, которые поодиночке не наносят никакого вреда. Но в корыстных целях они могут быть использованы для нарушения прав пользователей. К такой категории относятся программы удаленного административного доступа к системе. Такая категория программ может применяться на законных основаниях – для управления функционалом компьютера через сеть, так и для вредоносных целей с целью получения выкупа. Сотрудниками компании «Доктор Вэб» был выполнен анализ подобных нападений, при которых применялись легально выпускаемое программное обеспечение, осуществляющее удаленный доступ к компьютеру.

Собранные в одну группу вредоносные программы получили название BackDoor.RatPack, злоумышленники выполнили распространение документа по эксплойту Exploit.CVE2012-0158.121 под видом текстового документа. Попытка открытия этого документа приводила к распаковке и сохранению на жестком носителе группы программ. Было отмечено, что документ, который на самом деле являлся программой установщиком, имел, по аналогии со всеми BackDoor.RatPack файлами, действительную цифровую подпись.

screen BackDoor.RatPack

После того, как файл установки вредоносной программы запускался, он выполнял поиск на компьютере жертвы виртуальных машин, отладчика, программы-монитора. После этого усилия вредителя направлялись на поиск программы «банк-клиент» и определенной кредитной организации. В случае, когда параметры компьютера удовлетворяли запросам вредоносного файла, он запускал с серверов злоумышленника другую программу, которую в последствии снова таки устанавливал на компьютер – это файл в формате NSIS (Nullsoft Scriptable Install System). Эта программа установки содержала в себе собственный набор файлов и запароленные архивы. После скачивания программа выполняла распаковку архивов и запускала действующий алгоритм.

Установщик содержит полезную распространяемую утилиту Remote Office Manager. Анализ этой утилиты в компании «Доктор Вэб» смогли обнаружить порядка трех разновидностей такой утилиты, отличающихся своими конфигурациями и особенностями настроек. Благодаря захвату управления операционной системой, программа способна скрыть свое пребывание на компьютере и жестком носителе. Это не дает пользователю возможности обнаружить его до того как будет уже поздно. Предполагается, что используя программу BackDoor.RatPack взломщики стараются добраться к банковскому счету или другим финансовым средствам пользователя на компьютере, личным данным пользователя.

Несмотря на опасность этих сигнатур, работающих в составе программы BackDoor.RatPack, владельцам популярных антивирусных программ на своих компьютерах не о чем беспокоиться. После ряда происшествий и распространения атак при помощи BackDoor.RatPack в сети, специалисты компании выполнили комплексный анализ возникшей опасности и включили все возможные сигнатуры в базы вирусных обновлений. Эти обновления пресекают любые попытки первичного файла программы установить на компьютере вредоносные утилиты.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Имя
E-mail

 

Комментарии к записи Комплексное воздействие троянских вирусов позволяет открыть доступ к ПК