Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Backdoors KIVARS

KIVARS

Tegen GoldSparrow in Backdoors
Vertalen naar:
Nederlands

KIVARS is een achterdeurbedreiging die alleen 32-bits systemen trof. De cybercriminelen erachter ontwikkelden echter een tweede versie die is ontworpen voor 64-bits doelen. KIVARS wordt geleverd aan de gecompromitteerde computers tijdens de tweede fase van de aanvalsketen. De eerste malware-infectie wordt uitgevoerd door een bedreiging genaamd ' TROJ_FAKEWORD.A ' die fungeert als een druppelaar. Eenmaal uitgevoerd, downloadt het twee uitvoerbare bestanden genaamd ' TROJ_KIVARSLDR ' en ' BKDR_KIVARS ' en een lokmiddel MS Word-document dat dient als een omleiding die aan de gebruiker wordt getoond. De bestanden worden neergezet op:

  • % windows systeem% \ iprips.dll - TROJ_KIVARSLDR
  • % windows systeem% \ winbs2.dll - BKDR_KIVARS
  • C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ NO9907HFEXE.doc - lokdocument

De rol van ' TROJ_KIVARSLDR ' is om de daadwerkelijke backdoor-payload te laden van ' BKDR_KIVARS ' en deze in het geheugen uit te voeren. Wat betreft de KIVARS, het is uitgerust met alle schadelijke functies die worden verwacht van een achterdeurdreiging, waardoor de aanvallers bijna volledige controle hebben over het gecompromitteerde systeem. Ze kunnen het bestandssysteem manipuleren, bestanden downloaden en uploaden, willekeurige schermafbeeldingen maken, de muis en het toetsenbord bedienen door klikken en invoer te activeren, de actieve vensters manipuleren, enz. bestand met de naam ' klog.dat. '

Tijdens de eerste communicatie met de Command-and-Control (C2, C&C) servers die door de hackers zijn opgezet, bevat KIVARS verschillende systeeminformatie. De dreiging stuurt het IP-adres, de OS-versie, de gebruikersnaam, de hostnaam, de toetsenbordindeling en de recente document- / desktopmap van het slachtoffer in gecodeerde vorm naar de aanvallers. De dreiging omvat ook een eigen versie in de verzonden gegevens.

De bijgewerkte KIVARS-versies die aanvallen op 64-bits doelen bevatten, vertonen weinig afwijking in termen van functionaliteit, afgezien van twee prominente wijzigingen. Eerst krijgen de bestanden voor de lader en de afgeleverde backdoor-dreiging willekeurige namen. De tweede update heeft invloed op de manier waarop de backdoor-payload werd versleuteld. In tegenstelling tot de eerdere versies van de dreiging toen alleen de 'MZ'-magische byte werd versleuteld, gebruiken de latere varianten een aangepast RC4-algoritme voor de versleuteling.

Opgemerkt moet worden dat de dreigingsactoren achter KIVARS ook het Remote Access Trojan (RAT) POISON hebben ingezet.

Trending

Meest bekeken

Bezig met laden...