Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Backdoors KIVARS

KIVARS

Med GoldSparrow i Backdoors
Oversæt til:
Dansk

KIVARS er en bagdørstrussel, der kun berørte 32-bit-systemer. Imidlertid udviklede cyberkriminelle bag det en anden version designet til 64-bit mål. KIVARS leveres til kompromitterede computere i anden fase af angrebskæden. Den første malwareinfektion udføres af en trussel kaldet ' TROJ_FAKEWORD.A ', der fungerer som en dropper. Når den er udført, downloader den to eksekverbare filer med navnet ' TROJ_KIVARSLDR ' og ' BKDR_KIVARS ' og et lokket MS Word-dokument, der fungerer som en omdirigering, der vises til brugeren. Filerne slettes ved:

  • % windows system% \ iprips.dll - TROJ_KIVARSLDR
  • % windows system% \ winbs2.dll - BKDR_KIVARS
  • C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ NO9907HFEXE.doc - lokkedokument

Rollen som ' TROJ_KIVARSLDR ' er at indlæse den faktiske bagdør nyttelast fra ' BKDR_KIVARS ' og udføre den i hukommelsen. Hvad KIVARS angår, er den udstyret med alle de skadelige funktioner, der forventes af en bagdørstrussel, der giver angriberne næsten fuld kontrol over det kompromitterede system. De kan manipulere filsystemet, downloade og uploade filer, tage vilkårlige skærmbilleder, kontrollere musen og tastaturet ved at udløse klik og input, manipulere de aktive vinduer osv. Bagdøren er også udstyret med et keylogger-modul, der deponerer de grebne input i en fil med navnet ' klog.dat. ''

Under den indledende kommunikation med Command-and-Control (C2, C&C) serverne, der er oprettet af hackerne, inkluderer KIVARS forskellige systemoplysninger. Truslen sender ofrets IP-adresse, OS-version, brugernavn, værtsnavn, tastaturlayout og den nylige dokument / desktop-mappe til angriberne i krypteret form. Truslen inkluderer også sin egen version i de sendte data.

De opdaterede KIVARS-versioner, der inkluderer angreb mod 64-bit-mål, viser lidt afvigelse med hensyn til funktionalitet bortset fra to fremtrædende ændringer. Først tildeles filerne til læsseren og den leverede bagdørstrussel tilfældige navne. Den anden opdatering påvirker den måde, hvorpå bagdørens nyttelast blev krypteret. I modsætning til de tidligere versioner af truslen, da kun den 'MZ' magiske byte blev krypteret, bruger de senere varianter en modificeret RC4-algoritme til krypteringen.

Det skal bemærkes, at trusselsaktørerne bag KIVARS også indsatte Remote Access Trojan (RAT) GIFT .

Trending

Mest sete

Indlæser...