Comments 6
Спасибо за статью. Кибершеф крутой у вас получился!
+1
Загрузчик распространяется по почте в письмах с расширением
.bat
что если запретить пользователю запускать файлы .bat (на самом деле создавать процессы cmd.exe и command.com) ?
0
Спасибо за реверс, Антон. Есть вопрос, вся эта схема с шелкодом и выявленная тобой структура пакета, не напоминает ли запуск Gh0stRAT? Модуль интересный, мьютекс у него так и есть SafeRat?
0
В заключении как раз об этом написали: "SafeRAT — это очередная поделка, основанная на утекших исходниках Gh0st, только с урезанной функциональностью". Про событие также указали в разделе Основной модуль Online со скриншотом: "создается событие Global\safeRat
— именно по нему мы и дали впоследствии название вредоносу".
0
Sign up to leave a comment.
Троян SafeRAT: так ли он безопасен?