Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Backdoors KIVARS

KIVARS

Entro GoldSparrow nel Backdoors
Traduci in:
Italiano

KIVARS è una minaccia backdoor che ha colpito solo i sistemi a 32 bit. Tuttavia, i criminali informatici dietro di esso hanno sviluppato una seconda versione progettata per obiettivi a 64 bit. KIVARS viene consegnato ai computer compromessi durante la seconda fase della catena di attacchi. L'infezione malware iniziale viene eseguita da una minaccia chiamata " TROJ_FAKEWORD.A " che funge da contagocce. Una volta eseguito, scarica due file eseguibili denominati " TROJ_KIVARSLDR " e " BKDR_KIVARS " e un documento MS Word esca che funge da diversivo mostrato all'utente. I file vengono rilasciati in:

  • % sistema Windows% \ iprips.dll - TROJ_KIVARSLDR
  • % sistema Windows% \ winbs2.dll - BKDR_KIVARS
  • C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ NO9907HFEXE.doc - documento esca

Il ruolo di " TROJ_KIVARSLDR " è caricare l'effettivo payload backdoor da " BKDR_KIVARS " ed eseguirlo in memoria. Per quanto riguarda il KIVARS, è dotato di tutte le funzioni dannose che ci si aspetta da una minaccia backdoor, dando agli aggressori il controllo quasi completo sul sistema compromesso. Possono manipolare il file system, scaricare e caricare file, acquisire schermate arbitrarie, controllare il mouse e la tastiera attivando clic e input, manipolare le finestre attive, ecc. La backdoor è inoltre dotata di un modulo keylogger che deposita gli input catturati in un file denominato ' klog.dat. '

Durante la comunicazione iniziale con i server Command-and-Control (C2, C&C) impostati dagli hacker, KIVARS include varie informazioni di sistema. La minaccia invia l'indirizzo IP della vittima, la versione del sistema operativo, il nome utente, il nome host, il layout della tastiera e la cartella del documento / desktop recente agli aggressori in forma crittografata. La minaccia include anche la propria versione nei dati inviati.

Le versioni aggiornate di KIVARS che includono attacchi contro obiettivi a 64 bit mostrano poche deviazioni in termini di funzionalità, a parte due importanti modifiche. Innanzitutto, ai file per il caricatore e alla minaccia backdoor fornita vengono assegnati nomi casuali. Il secondo aggiornamento influisce sul modo in cui il payload backdoor veniva crittografato. A differenza delle versioni precedenti della minaccia, quando era crittografato solo il byte magico "MZ", le varianti successive utilizzano un algoritmo RC4 modificato per la crittografia.

Va osservato che gli attori della minaccia dietro KIVARS hanno anche implementato il POISON di Remote Access Trojan (RAT).

Tendenza

I più visti

Caricamento in corso...