Обнаружен работающий в памяти «крипточервь» для Windows

Страница 1 из 2

[ Сообщений: 27 ]

Стрaница 1, 2 След.

Пред. тема | След. тема

Автор

Москаль з Батькiвщины

Ветеран

Регистрация: 23.08.2014
Сообщения: 18170
Откуда: Ханты-Мансийск
Благодарил (а): 349 раз.
Поблагодарили: 1069 раз.

Итальянский исследователь Марко Рамилли (Marco Ramilli) опубликовал результаты анализа необычного сетевого червя, ворующего пароли и устанавливающего майнер криптовалюты Monero, сообщает Threatpost.

Характерными особенностями нового Windows-зловреда также являются сложный процесс заражения, использование эксплойтов и работа без записи файлов на диск.

Как показало тестирование, при запуске вредоносный файл y1.bat загружает с китайского сервера и запускает дроппер info6.ps1 — сильно обфусцированный скрипт PowerShell, состоящий из трех модулей:

- Mimikatz.dll;
- набор утилит для деобфускации, сканирования локальных сетей, активации эксплойтов и т.п., а также для загрузки и запуска майнера;
- набор эксплойтов EternalBlue.

Использование Mimikatz позволяет «крипточервю» (all in memory CryptoWorm), как его называет Рамилли, украсть пароли пользователей Windows. После этого он ищет в той же сети устройства, уязвимые к атакам на SMB (патчи MS17-010 были выпущены Microsoft еще в марте), и, найдя таковые, применяет эксплойты для дальнейшего распространения инфекции.

На последнем этапе атаки новоявленный червь загружает и запускает на исполнение файл info.vbs, опознанный как дроппер XMRig — доступной на Github программы с открытым исходным кодом для майнинга Монеро.

Как отмечают эксперты, примечательно, что XMRig помещается непосредственно в память зараженной системы.

Автор: Softodrom.ru
Дата: 04.10.2017
https://news.softodrom.ru/ap/b ... shtml

_________________
Добре спозаранку-надобранич щеневмерлие патриоти-ватобори, кримоблокувадники, ганьбапереможники та бандугетьмани! ТАК!

Gold

Ветеран

Регистрация: 23.08.2014
Сообщения: 14306
Откуда: СПБ
Благодарил (а): 158 раз.
Поблагодарили: 392 раз.

Чо?

_________________
--------------------------
С Уважением, Голд.

I'm

Ветеран

Регистрация: 16.08.2014
Сообщения: 11753
Благодарил (а): 91 раз.
Поблагодарили: 244 раз.

Gold писал(а):

Чо?

Кто-то занимается майнингом на наших компах и не делится с нами доходами

_________________
Quod licet Jovi, поп licet bovi

Gold

Ветеран

Регистрация: 23.08.2014
Сообщения: 14306
Откуда: СПБ
Благодарил (а): 158 раз.
Поблагодарили: 392 раз.

I'm писал(а):

Gold писал(а):

Чо?

Кто-то занимается майнингом на наших компах и не делится с нами доходами

Ганьба.
Я не помню, когда комп послпдний раз включал.

_________________
--------------------------
С Уважением, Голд.

I'm

Ветеран

Регистрация: 16.08.2014
Сообщения: 11753
Благодарил (а): 91 раз.
Поблагодарили: 244 раз.

Gold писал(а):

I'm писал(а):

Gold писал(а):

Чо?

Кто-то занимается майнингом на наших компах и не делится с нами доходами

Ганьба.
Я не помню, когда комп послпдний раз включал.

А у меня кто-то роет.

_________________
Quod licet Jovi, поп licet bovi

Молотов

Ветеран

Регистрация: 16.08.2014
Сообщения: 26572
Благодарил (а): 696 раз.
Поблагодарили: 826 раз.

I'm писал(а):

Gold писал(а):

Чо?

Кто-то занимается майнингом на наших компах и не делится с нами доходами

Домохозяйки, грудные младенцы и их домашние питомцы, а так же аутисты и дауны, юзающие систему для овец домохозяек от Мелкософта,
желают делиться с кетайцями и хакерами частью своего материального благополучия.

Не находите ли вы, что это очень похвальное и человеколюбивое желание ?

I'm

Ветеран

Регистрация: 16.08.2014
Сообщения: 11753
Благодарил (а): 91 раз.
Поблагодарили: 244 раз.

Молотов писал(а):

I'm писал(а):

Gold писал(а):

Чо?

Кто-то занимается майнингом на наших компах и не делится с нами доходами

Конечно похвальное! Надо будет купить хорошую карту для облегчения шахтного труда копателей. И тормозить комп может стать меньше.

_________________
Quod licet Jovi, поп licet bovi

Коля

Ветеран

Регистрация: 01.09.2015
Сообщения: 27045
Благодарил (а): 134 раз.
Поблагодарили: 438 раз.

Да я сам, блин, старый вредоносчег! Копаю под любого! СТОЯТЬ!!! А-А-А-А-А!!!!!

Лапоть

Старожил

Регистрация: 11.07.2016
Сообщения: 6035
Благодарил (а): 43 раз.
Поблагодарили: 72 раз.

Тоже мне новость

Уже JS в бразере майнит. Тащат по линкам рекламодателей.

Москаль з Батькiвщины

Ветеран

Регистрация: 23.08.2014
Сообщения: 18170
Откуда: Ханты-Мансийск
Благодарил (а): 349 раз.
Поблагодарили: 1069 раз.

Коля писал(а):

Да я сам, блин, старый вредоносчег! Копаю под любого! СТОЯТЬ!!! А-А-А-А-А!!!!!

Ты на Ваганьковском копаешь? :tease:

Коля

Ветеран

Регистрация: 01.09.2015
Сообщения: 27045
Благодарил (а): 134 раз.
Поблагодарили: 438 раз.

Да я объявляю тебе як пайщег-вкладчег!

Алабай

Старожил

Регистрация: 07.10.2014
Сообщения: 7762
Откуда: Нижний Новгород
Благодарил (а): 261 раз.
Поблагодарили: 261 раз.

Москаль з Батькiвщины писал(а):

Ты на Ваганьковском копаешь?

Теперь он пожрет все твои волнушке ! :vata

Коля он такой ! :yahoo:

Москаль з Батькiвщины

Ветеран

Регистрация: 23.08.2014
Сообщения: 18170
Откуда: Ханты-Мансийск
Благодарил (а): 349 раз.
Поблагодарили: 1069 раз.

Алабай писал(а):

он пожрет все твои волнушке !

Я иму настучу по макушке!

Швеллер

Завсегдатай

Регистрация: 19.08.2014
Сообщения: 4158
Благодарил (а): 80 раз.
Поблагодарили: 52 раз.

Молотов писал(а):

I'm писал(а):

Gold писал(а):

Чо?

Кто-то занимается майнингом на наших компах и не делится с нами доходами

А че, линуксов с открытым smb1 нет?

Молотов

Ветеран

Регистрация: 16.08.2014
Сообщения: 26572
Благодарил (а): 696 раз.
Поблагодарили: 826 раз.

Швеллер писал(а):

А че, линуксов с открытым smb1 нет?

А причем здесь самба ?
Или у вас есть проблемы с пониманием самого первого поста в этой ветке ?

Швеллер

Завсегдатай

Регистрация: 19.08.2014
Сообщения: 4158
Благодарил (а): 80 раз.
Поблагодарили: 52 раз.

Молотов писал(а):

Швеллер писал(а):

А че, линуксов с открытым smb1 нет?

А причем здесь самба ?
Или у вас есть проблемы с пониманием самого первого поста в этой ветке ?

Нет проблем. Данный червь использует уязвимость первой самбы.
Линукс просто мало распространен, поэтому под него эксплойты просто впадлу людям писать. А так уязвимости примерно те же.

Молотов

Ветеран

Регистрация: 16.08.2014
Сообщения: 26572
Благодарил (а): 696 раз.
Поблагодарили: 826 раз.

Швеллер писал(а):

Нет проблем. Данный червь использует уязвимость первой самбы.

Ты так ничего и не понял. :rzach:

Данный червь попытается передать управление положеному через уязвимость bat файлу, сценарию powershell, как ты думвешь, батники линух выполняет ?
Далее будут подтягиваться .dll - запустится ли в линухе маздаевская dll ?
Ну и так далее...

Швеллер

Завсегдатай

Регистрация: 19.08.2014
Сообщения: 4158
Благодарил (а): 80 раз.
Поблагодарили: 52 раз.

Мля, ну данный червь использует конуретную библиотеку, но проблема ж шире...

>> После этого он ищет в той же сети устройства, уязвимые к атакам на SMB

Швеллер

Завсегдатай

Регистрация: 19.08.2014
Сообщения: 4158
Благодарил (а): 80 раз.
Поблагодарили: 52 раз.

Короче алгоритм такой же тупой, как у вонакрая.

Вот методом Пети он распространяться не умеет. А Петя реально использовал фирменные майкрософтовские дыры, в линуксе такое невозможно.

Молотов

Ветеран

Регистрация: 16.08.2014
Сообщения: 26572
Благодарил (а): 696 раз.
Поблагодарили: 826 раз.

Швеллер писал(а):

Разумеется, есть идиоты, не ставившие обновления, использующие в линухе smb v1 вместо NFS,
расшаривающие самбовские папки для любого, и не прикрывающие порты в интернет.
Может, каждый тысячный линух и уязвим. Но не для заражения, а для записи дерьма в расшареный раздел.

Но у овец уязвим, в самом оптимистическом случае, каждый третий таз c маздайкой.

Страница 1 из 2

[ Сообщений: 27 ]

Стрaница 1, 2 След.

Все форумы ForUA » Политика и экономика


		[ Time : 0.582s \| 18 Queries \| GZIP : Off ]