KIVARS

Por GoldSparrow em Backdoors

Traduzir Para:

KIVARS é uma ameaça de backdoor que afetou apenas sistemas de 32 bits. No entanto, os cibercriminosos por trás disso desenvolveram uma segunda versão projetada para alvos de 64 bits. O KIVARS é entregue aos computadores comprometidos durante o segundo estágio da cadeia de ataque. A infecção inicial por malware é realizada por uma ameaça chamada ' TROJ_FAKEWORD.A ', que atua como um dropper. Uma vez executado, ele baixa dois arquivos executáveis chamados ' TROJ_KIVARSLDR ' e ' BKDR_KIVARS ' , e um documento falso do MS Word que serve como um desvio mostrado ao usuário. Os arquivos são descartados em:

% windows system% \ iprips.dll - TROJ_KIVARSLDR
% windows system% \ winbs2.dll - BKDR_KIVARS
C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ NO9907HFEXE.doc - documento falso

A função de ' TROJ_KIVARSLDR ' é carregar a carga útil backdoor real de ' BKDR_KIVARS ' e executá-la na memória. Quanto ao KIVARS, ele é equipado com todas as funções prejudiciais esperadas de uma ameaça de backdoor, dando aos invasores controle quase total sobre o sistema comprometido. Eles podem manipular o sistema de arquivos, fazer download e upload de arquivos, fazer capturas de tela arbitrárias, controlar o mouse e o teclado acionando cliques e entradas, manipular as janelas ativas, etc. O backdoor também é equipado com um módulo keylogger que deposita as entradas capturadas em um arquivo denominado ' klog.dat. '

Durante a comunicação inicial com os servidores de comando e controle (C2, C&C) configurados pelos hackers, o KIVARS inclui várias informações do sistema. A ameaça envia o endereço IP da vítima, a versão do sistema operacional, o nome de usuário, o nome do host, o layout do teclado e a pasta de documento / área de trabalho recente para os invasores em uma forma criptografada. A ameaça também inclui sua própria versão nos dados enviados.

As versões atualizadas do KIVARS que incluem ataques contra alvos de 64 bits mostram poucos desvios em termos de funcionalidade, exceto por duas alterações importantes. Primeiro, os arquivos para o carregador e a ameaça de backdoor entregue recebem nomes aleatórios. A segunda atualização afeta a maneira como a carga backdoor estava sendo criptografada. Ao contrário das versões anteriores da ameaça, quando apenas o byte mágico 'MZ' foi criptografado, as variantes posteriores usam um algoritmo RC4 modificado para a criptografia.

Deve-se observar que os agentes de ameaça por trás do KIVARS também implantaram o Trojan de acesso remoto (RAT) POISON.

Buscar

Mudar de região

KIVARS

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela