Новий руткит trojan.rodricter.21 для користувачів windows

Відео: Пошук руткітів в Kali Linux

Ще в кінці серпня в компанії FireEye виявила критичну уразливість Java Runtime Environment версії 1,7х. Ця вразливість отримала назву CVE-2012-4681. Більше чотирьох діб вразливість була закритою, так як компанія Oracle необхідне оновлення випустила тільки через кілька днів.

Відео: TDSSKiller чистити комп`ютер від вірусів

Природно, що цією ситуацією скористалися творці троянських програм, які легко поширили за допомогою даного експлойта. Фахівці з компанії «Доктор Веб» вже виявили кілька шкідливих програм, в тому числі і Trojan.Rodricter.

Відео: Видаляємо руткітів 2 Програма для видалення руткітів

Щоб поширити шкідливі програми, використовувалися вже зламані веб-сайти, на яких можна було модифікувати зміст .htaccess. Як тільки хтось звертався до сайту з шкідливим скриптом, то відразу запускалася довгий ланцюжок перенаправлень, кінцевий адресу якої залежав тільки від того, яка версія операційної системи варто у користувача. Ті, хто користувалися Windows, відразу ж перенаправлялись на веб-сторінку з різними експлойта. При цьому всі адреси, на яких перекидало користувачів, генерувалися автоматично і щогодини змінювалися.




Ті веб-сторінки, які завантажувалися в браузер, експлуатували вразливість CVE-2012-4681 і CVE-2012-1723. Експлойт ж залежав виключно від версії Java Runtime. Якщо вразливість вдавалося використовувати успішно, то запускався файл class, який пізніше завантажував і запускав шкідливий фал Trojan.Rodricter.21.




Сама програма складається з декількох компонентів. Дроппер програми на інфікованому комп`ютері перевіряє наявність будь-якої антивірусної програми і отладчиков, а вже після цього за допомогою вразливостей операційної системи намагається домогтися деяких привілеїв.

На тих комп`ютерах, де облікові записи контролюються, троянець просто відключає UAC, а далі все залежить від того, які саме у нього права в інфікованій системі. Виходячи з усього цього, Trojan.Rodricter.21 можна однозначно віднести до розряду руткітів.

А ще цей троянець може змінювати налаштування в таких популярних браузерах, як Microsoft Internet Explorer, а також Mozilla Firefox. В останньому він взагалі може підмінити не тільки User-Agent, а й налаштування пошукової системи, встановлені за замовчуванням. А ще він в папку searchplugins встановлює додатковий модуль. Також троянець повністю модифікує зміст hosts, прописуючи туди адреси, цікаві зловмисникам.

Основний модуль зберігається в тимчасових теках і призначений для того, щоб підміняти користувача трафік і впроваджувати туди саме різне вміст.


Поділися в соц. мережах:

По темі: