Троян muldrop что делает
Троян MulDrop7 пугает пользователей внезапными скримерами
Linux для хакера
Специалисты компании «Доктор Веб» рассказали о трояне, который получил идентификатор Trojan.MulDrop7.26387 (далее просто MulDrop7) и был найден «ВКонтакте». Все началось с того, что в последнее время в официальной группе компании в социальной сети участились случаи появления вредоносного спама, с которым модераторы не всегда успевают справляться вовремя.
Как можно увидеть на иллюстрации, в спамерских комментариях анонимные пользователи предлагают скачать бесплатные лицензионные ключи для антивируса Dr.Web. Как правило, подобные сообщения содержат сокращенную ссылку, которая ведет на файловый хостинг RGhost. Если пройти по ней, потенциальной жертве будет предложено загрузить RAR-архив объемом порядка 26 Кбайт.
Исследователи пишут, что данный архив содержит небольшой исполняемый файл, имеющий иконку обычного текстового документа. Все изученные специалистам образцы представляют собой один и тот же бэкдор, однако перед размещением его в интернете злоумышленники всякий раз переупаковывают малварь во избежание сигнатурного обнаружения. В результате MulDrop7 длительное время не детектируется антивирусом Dr.Web — каждый новый образец начинает определяться только после очередного обновления вирусных баз.
По сути троян является многофункциональным бэкдором, но его функции исследователи описывают как «весьма забавные и школьные». Также сообщается, что MulDrop7 был создан на базе известного RAT (Remote Administration Tool) Njrat 0.7 Golden By Hassan Amiri, который продукты «Доктор Веб» идентифицируют как BackDoor.NJRat.1013.
После проникновения в систему малварь соединяется со своим управляющим сервером и отправляет на него исчерпывающую информацию о зараженном компьютере: серийный номер жесткого диска, версию и разрядность установленной ОС, имя компьютера, наименование его производителя, наличие и версию антивируса, а также троян уведомляет своих операторов о наличии подключенной к ПК веб-камеры. MulDrop7 может выполнять следующие команды злоумышленников:
Эксперты отмечают, что одной из наиболее опасных функций также является встроенный кейлоггер, запоминающий нажатия клавиш. По команде эти данные загружаются на сервер злоумышленников.
Однако помимо «боевых» функций у трояна есть забавная особенность, из-за которой он и удостоился эпитета «школьный». MulDrop7 способен неожиданно воспроизводить на экране зараженной машины SWF-ролики, содержимое которых должно напугать жертву. Специалисты «Доктор Веб» предлагают всем желающим ознакомиться с этими скримерами, перейдя по ссылкам приведенным ниже, а также советуют: «предварительно уберите от экранов детей и излишне впечатлительных лиц, а также не забудьте включить погромче звук в динамиках вашего ПК».
«Подобные вредоносные программы, основное назначение которых — напугать или ввести в замешательство пользователей, в последние годы встречаются редко. Большая часть современных троянцев ориентирована на извлечение преступниками коммерческой выгоды, а распространением вирусов с целью попугать жертву ради собственного удовольствия чаще всего занимаются подростки старшего школьного возраста», — резюмируют аналитики.
Trojan.MulDrop7.24844
Добавлен в вирусную базу Dr.Web: 2017-04-12
Описание добавлено: 2017-04-13
Многокомпонентный троянец для ОС Windows. Распространяется в виде файла с именем Платежка от ООО Глобальные Системы 6 апреля 2017 года.JPG.zip в сообщениях электронной почты с темой «Оплату произвели» и следующим содержанием:
Внутри архива содержится приложение с расширением:
Исполняемый файл представляет собой зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске сохраняются следующие модули:
В момент старта сценарий проверяет, что он запущен в единственном экземпляре, в противном случае завершает свою работу. В операционной системе Microsoft Windows 8.1 при отсутствии у текущей учетной записи пользователя привилегий администратора троянец с помощью утилиты wusa.exe распаковывает из архива 32.cab или 64.cab (в зависимости от разрядности ОС) библиотеку cryptbase.dll в папку %windir%\system32\migwiz\ и запускает migwiz.exe, передав в качестве входного параметра путь до исполняемого файла троянца.
В других версиях Windows выполняет обход UAC с использованием eventvwr.exe.
Исполняемые файлы устанавливаются в папку %PROGRAMFILES%\XPS Rasterization Service Component. Троянец обеспечивает собственный автоматический запуск — в ОС Windows XP путем добавления в ключе системного реестра
параметра “XPS Rasterization Service Component». В более поздних версиях Windows автозапуск реализуется с использованием Планировщика задач:
Троянец запускает приложения xps.exe и xservice.exe, после чего пытается извлечь и сохранить в текстовом файле пароли из браузеров Google Chrome и Mozilla Firefox.
xps.exe
Утилита удаленного администрирования, детектируемая Dr.Web как Program.RemoteAdmin.753.
xservice.exe
Зашифрованный контейнер, созданный с использованием возможностей языка Autoit и упакованный PECOMPACT. При запуске извлекает и сохраняет файл 32_en.exe или 64_en.exe (в зависимости от разрядности системы). Эти программы являются 32- и 64-разрядными версиями утилиты Mimikatz, которая предназначена для перехвата паролей открытых сессий в Windows. Файл xservice.bin может быть запущен с различными ключами, в зависимости от которых он выполняет на инфицированном компьютере те или иные действия:
меняет обои на указанные в параметре
После собственного запуска пытается также запустить Program.RemoteAdmin.753 из файла %PROGRAMFILES%\XPS Rasterization Service Component\xps.exe. Активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, и создает в момент запуска снимок экрана.
Троянец открывает злоумышленникам удаленный доступ к зараженной машине по протоколу RDP (Remote Desktop Protocol). Удостоверяется в наличии утилиты для организации соединения, проверяя значение ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk] «Status». Если оно равно 1, повторная установка утилиты не выполняется.
Не пытается установить утилиту для организации соединения по протоколу RDP, если ключ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest] «UseLogonCredentials» установлен в 0.
С использованием ранее сохраненной на диске утилиты Mimikatz соответствующей разрядности пытается получить пароль от учетной записи текущего пользователя. Полученный пароль кодируется с использованием алгоритма base64 и сохраняется в параметре «Pwd» ключа системного реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В качестве индикатора успешной установки сохраняет значение «1» в параметре «Status» ключа реестра [HKEY_CURRENT_USER\Software\AcronisDisk]. В операционных системах Microsoft Windows 8.1 и Windows 10 считает, что получить пароль учетной записи пользователя не удалось, после чего запускает новый экземпляр интерпретатора команд CMD и выполняет команду net users *.
Новый троян заражает компьютеры только с российской Windows
Как выяснили специалисты «Яндекса» и «Доктора Веба», троянская программа под названием Trojan.MulDrop6.44482 попадает на компьютер в виде установщика. Первым делом она проверяет, нет ли на компьютере антивирусов, и в случае, если компьютер «чист», проверяет локализацию операционной системы.
Если операционная система не является российской, троян просто самоуничтожается.
Но в случае, если вредоносное ПО «учует» Windows россиянина, начинается активная работа по заражению. Он сохраняет себя на диске в виде 7z-архива, защищенного паролем. Постепенно он распаковывается по одному файлу, среди которых представлены и другие трояны. Один из них — Trojan.Inject2.24412 — встраивается в запускаемые на зараженном компьютере процессы вредоносных библиотек. Тем не менее самым опасным трояном среди прочих является кейлоггер Trojan.PWS.Spy.19338. Он способен перехватывать вводимые с клавиатуры данные в определенных программах и полях. Согласно информации «Доктора Веба», среди этих программ значатся 1C, Skype, СБиС++, а также программы из пакета Microsoft Office.
Как рассказал «Газете.Ru» аналитик компании «Доктор Веб» Павел Шалин, трояны действуют сообща, поскольку не являются вирусами и не могут распространяться самостоятельно.
Аналитик добавил, что исследованный образец злоумышленники скомпилировали 4 июня 2016 года, однако первый похожий семпл был обнаружен еще в мае 2015-го.
Обычно подобных троянцев пользователи скачивают из интернета сами под видом различных «полезных» программ, например проигрывателя Adobe Flash или чего-то подобного, либо получают в виде вложений в сообщения электронной почты.
Это самые распространенные каналы доставки троянцев на компьютеры пользователей.
Подробно принцип работы трояна специалисты описали в техническом отчете. Если кратко,
троян может сохранять в специальном журнале и передавать преступникам нажатия клавиш в окнах ряда программ, отсылать киберпреступникам данные об ОС на зараженной машине, а также скачивать и запускать другие программы.
Иными словами, этот троянец шпионит за действиями пользователя в используемых для работы программах, собирает важную информацию, например логины и пароли. А возможность скачать и запустить любую программу означает, что через этого троянца можно получить любой другой троянец или вирус.
Например, по завершении своей шпионской деятельности злоумышленник всегда может заблокировать компьютер или запустить на нем шифровальщика ради дополнительного дохода или просто с целью замедлить реакцию на несанкционированные действия, такие как перевод денег с корпоративного счета.
Кроме того, аналитик отметил, что случаи заражения компьютеров по «национальному» признаку достаточно частая практика.
«Существуют троянцы-вымогатели, демонстрирующие свои требования на каком-то конкретном иностранном языке. Иногда разработчики вредоносных программ организуют специальные «партнерские программы», привлекая к распространению вирусов и троянцев других злоумышленников», — рассказал аналитик.
В этом случае цель трояна — собрать информацию из отечественных бухгалтерских программ, поэтому иностранцы создателям этого вредоносного ПО неинтересны.
Компания Group-IB, специализирующаяся на предотвращении и расследовании киберпреступлений, также отреагировала на троянца-кейлоггера. По словам заместителя руководителя лаборатории компьютерной криминалистики компании Сергея Никитина, подобные трояны, действующие только на ОС с определенной локализацией, появились еще в 2009 году.
«Ничего принципиально нового в данной ситуации нет. Встречаются и альтернативные варианты, когда вирус строго не работает в ру-зоне. Как правило, это связано с прагматическими, а не политическими вещами. Например, потому, что у хакеров имеется схема обналичивания только через Россию или, наоборот, хакеры знают, что преследовать их будут только из-за хищений внутри страны», — считает Никитин.
В данном случае заметна нацеленность на программы компании 1С, которые широко представлены именно в странах СНГ. Отсеивание по русскому языку ОС позволяет хакерам не тратить время и внимание на тех клиентов, через которых они не могут совершить мошенничество.
Тем не менее ведущий аналитик ESET Russia Артем Баранов считает, что трояны, ориентированные на жителей определенного региона, появляются нечасто. По его мнению, такой подход ограничивает круг потенциальных жертв и тем самым снижает доходы злоумышленников.
Поскольку чаще всего вредоносные программы интернет-пользователи «подхватывают» одним и тем же способом, то и рекомендации по защите от них достаточно традиционны. Аналитики сходятся во мнении, что для безопасности личных или корпоративных данных прежде всего нужно следовать нескольким элементарным правилам: использовать надежный и современный антивирус, вовремя обновлять антивирусные базы, проводить проверки дисков и с осторожностью загружать приложения из сети.
Троян для WINDOWS превращает ПК в прокси для злоумышленников
Компания Dr. Web сообщает о новом трояне, который устанавливает на заражённые компьютеры приложение TeamViewer. Злоумышленники используют его в качестве прокси и таким образом скрывают свои истинные IP-адреса.
Троян, получивший название BackDoor.TeamViewer.49, был обнаружен в начале мая специалистами Dr. Web и «Яндекса». Для его распространения применяется замысловатая многоступенчатая схема. Жертвами BackDoor.TeamViewer.49 становятся пользователи, чьи компьютеры поражены другим трояном — Trojan.MulDrop6.39120. Обычно он распространяется с заражёнными инсталляторами Adobe Flash Player, которые можно встретить в неофициальных источниках.
Trojan.MulDrop6.39120 без ведома пользователя скачивает и устанавливает TeamViewer — популярное и совершенно легальное приложение, которое служит для удалённого управления компьютером, обмена файлами и проведения телеконференций. Известны случаи, когда злоумышленники применяли TeamViewer для того, чтобы получить контроль над машиной жертвы. BackDoor.TeamViewer.49 необычен тем, что его создатели нашли для TeamViewer другое сомнительное назначение.
BackDoor.TeamViewer.49 скрывается в модифицированной версии динамической библиотеки avicap32.dll, которую TeamViewer загружает при запуске. При установке приложение добавляет себя в список автозапуска и автоматически включается после каждой перезагрузки заражённого компьютера. После этого вредоносная программа убирает иконку TeamViewer из области уведомлений Windows, открывает защищённое соединение с командным сервером и ждёт дальнейших указаний.
Та версия трояна, которую анализировали специалисты Dr. Web, исполняла роль прокси, но это не значит, что BackDoor.TeamViewer.49 больше ни на что не способен. «Когда система заражена, преступники могут делать с ней практически всё, что угодно, — цитирует издание Softpedia слова представителя разработчиков TeamViewer. — В зависимости от сложности вредоносного софта, он может взять под контроль всю систему, перехватывать информацию, манипулировать ей и так далее».
Прокуратура запросила реальные сроки для хакеров Lurk — от 6 до 18 лет лишения свободы
Прокуратура запросила для екатеринбургских IT-специалистов, обвиняемых в разработке вируса Lurk и хищении более 1,2 млрд рублей, реальные сроки заключения — от 6 до 18 лет. Дело на них было заведено ещё в 2018 году, но из-за большого количества фигурантов и высокой сложности следствие затянулось. Кроме того, летом этого года процесс пришлось приостановить на месяц, поскольку один из фигурантов начал слышать голоса в СИЗО.
Хакерская группировка Lurk получила широкую известность в 2016 году после того, как её рассекретили российские спецслужбы. Согласно материалам дела, она была создана в 2013 году. Все участники Lurk занимались разработкой и распространением одноимённой троянской программы, заражающей системы банки.
По информации издания «Октагон», благодаря зловреду хакеры украли у банков и крупных бизнес-компаний около 1,2 млрд рублей. Газета «Коммерсантъ» приводит другие данные — 1,7 млрд рублей. Кроме того, злоумышленников подозревают в попытке вывести ещё 2,2 млрд рублей. Они распространяли троян через эксплойт-паки и взломанные сайты, например — Ammyy, в клиентах которых значатся Министерство внутренних дел России, «Почта России» и система правовой информации «Гарант».
В общей сложности следствие задержало 50 подозреваемых, но уголовное дело завели только на 23 из них. Один участник группировки Игорь Маковкин пошёл на сделку со следствием и признал вину. В 2018 году его приговорили к пяти годам заключения. Остальные фигуранты дела не признают своего участия в группировке Lurk, но не отрицают, что занимались мошенничеством. Дела 22 подозреваемых были переданы в Кировский районный суд Екатеринбурга в декабре 2018 года.
5 октября этого года издание «Октагон» сообщило, что представители гособвинения рассмотрели представленные защитой доказательства и свидетельские показания. Основываясь на них следствие пришло к выводу, что версия обвинения обоснована и полностью доказана. Прокуроры запросили для оставшихся 22 фигурантов дела реальные сроки в виде 6—18 лет заключения на основании статьи о создании преступного сообщества.
Для предполагаемого лидера группировки Константина Козловского просят максимальный срок заключения. Второй предполагаемый лидер Владимир Грицан находится в розыске. Для единственной женщины в группировке Валентины Рякиной запросили отсрочку заключения до наступления совершеннолетия ребёнка. Расследованием дела занимался центральный аппарат МВД РФ.
Ну я же сказал тебе
Работал в компьютерной помощи на выездах. Винду поставить, ноут почистить, негров с письками поперек экрана и требованием заплатить денег удалить. Бывали клиенты разные. Но один особо запомнился.
Система поставилась, ставлю дрова, последние штрихи:
-Интернет сами настроите?
-Не, чувак. Я в этом вообще не понимаю. Настрой.
-Без ножа режешь. Но давай.
-Да почему сразу режу? Можете сами.
-Не. Давай сам настрой.
-У Вас беда такая приключилась, потому что антивируса нет. Может поставить?
-Не это денег стоит. У меня есть где-то купленный касперский.
-Но Вы поставьте его. Обязательно.
-Обязательно. Держи деньгу за винду и прощай.
Вышел с адреса и на остановку. Сел в автобус, доехал до своего района. Звонок.
-Запиши себе. Переустановить винду.
-Ну да. Клиент скачал танки с модами и теперь у него негры поперек экрана.
-И антивирус поставь.
Steam только через 4 года убрал из продажи игру, которой уже не было.
в мае 2016 вышла в Steam игра Garlock Online
Вот только вместе с игрой покупатели получили и троян, но разрабы не растерялись и удалили все файлы из игры (без шуток)
и продолжили продавать воздух, т.е. даже купив игру, попробовав её скачать, пользователь получал просто пустую папку, вместо игры.
Это продолжалось целых четыре года, игра перешла даже на Free-to-Play(бесплатную) модель распространения, но ирония в том, что файлов игры по прежнему не было.
И вот сегодня в истории поставлена точка, игру убрали из магазина.
Решение проблемы с пропажей места на жестком диске
С пару недель я страдал от постоянной нехватки места на компьютере на Windows 10. Стоило мне что-то удалить, как через какое-то время свободное место на диске становилось равно нулю. Поиски по интернету далеко не сразу привели меня к решению этой проблемы, по этому решил поделиться с вами вот здесь, мало ли кому пригодится.
Вот и все. Если подробнее, то какие-то службы винды, а именно магазина создавали кучу ошибок, логи которых как раз и забивали место не диске.
Надеюсь, кому-то спасу много часов 🙂
Криптоджекинг. Разбор случайного вируса-майнера под Windows.
В автозагрузке, повторюсь всё в порядке:
После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.
В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:
И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:
Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:
Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:
Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal’е, и получил следующий результат:
Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:
Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется «Info-Zip UnZip», и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:
Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.