Суббота, 28 ноября, 19:40
дома безопасность Новый вирус KBOT вводит вредоносный код в файлы Windows и ворует данные!

Новый вирус KBOT вводит вредоносный код в файлы Windows и ворует данные!

Через долгое время вы услышите термин «вирус» вместо вредоносного ПО !! Да ты прав. Исследователи обнаружили новую волну вредоносных кампаний под названием «KBOT», которые вставляют вредоносный код в исполняемые файлы Windows.

Они описывают его как живой вирус, который за последние несколько лет широко распространился через зараженный внешний диск, локальную сеть и Интернет воспроизводить себя, изменяя другие компьютерные программы, используя свой собственный код.

Успешное «заражение» замедлит систему, внедрив системный процесс, и получит полный контроль над системой удаленно, украдет лично данные который будет использовать для кражи банковских данных пользователей.

KBOT также загружает дополнительные модули с возможностью кражи для сбора пароли / logins, данные криптовалюты, списки файлов и установленные приложений и доставка на серверы C2.

Как КБОТ заражает

Процесс заражения вирусом KBOT начинается агрессивно с репликаций в локальной сети и быстро распространяется на другой компьютер, заражая исполняемые файлы без возможности восстановления.

KBOT мгновенно заражает все файлы EXE, включая разделы жесткого диска, внешние носители, сетевые диски и сетевые папки, используя вредоносный код.

KBOT добавляет зашифрованные данные (с помощью метода XOR) в конец следующих файлов. для расшифровки.

Он также может работать в системных приложениях и пытаться заразить код в текущем процессе.

Попробуйте угнать DLL

Вредоносная программа KBOT делает попытку угона DLL, заражая двоичные файлы система когда система запускается.

Вирус ищет специально исполняемые EXE-файлы, которые подходят для атаки на папку C: \ Windows \\ System32. Затем он вносит изменения в права доступа к файлу, в имена и в своем роде.

Чтобы получить удаленный доступ к системе, Хакеры За KBOT создайте обратные ссылки на серверы, указанные в файле BC.ini.

Вирус также получил несколько команд от сервера C2, управляемого злоумышленником.

  • DeleteFile - удалить этот файл.
  • UpdateFile - обновить этот файл.
  • UpdateInjects - обновить до ini.
  • UpdateHosts - обновить обновление.
  • UpdateCore - обновление до основного модуля бота и файла конфигурации kbot.ini.
  • Удалить - удалить вредоносную программу.
  • UpdateWormConfig - обновление до worm.ini, которое содержит информацию о расположении EXE-файлов, подлежащих заражению.

Вирус также настраивает параметры сервера удаленного рабочего стола для создания нескольких одновременных сеансов с использованием протокола RDP.

"Это позволяет операторам контролировать его скомпрометированная система удаленно, крадет лично данные и красть банковские данные пользователей ", - сказал следователь Касперского.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Как выбрать, какие расширения будут отображаться на панели инструментов Edge

Расширения Microsoft Edge могут сделать ваш браузер более полезным. Но иногда может не понравиться ...

Вакцины COVID-19: Северная Корея взламывает лекарства

Южная Корея, если быть точным, ее разведывательная служба сорвала попытки Северной Кореи вторгнуться в южнокорейские компании ...

Drupal: обновления безопасности для борьбы с эксплойтами

Разработчики системы управления контентом (CMS) Drupal выпустили экстренные обновления безопасности из-за наличия некоторых эксплойтов, которые могут ...

Как отключить функцию «Получите еще больше от Windows» в Windows 10

Вас беспокоит, что сообщение «Получите еще больше от Windows» появляется каждый раз при обновлении до Windows 10? Может быть...

Военные США исследуют "телепатические" коммуникационные технологии

Исследовательское бюро армии США финансирует новое исследование того, как сигналы мозга могут ...

Canon признала атаку вымогателя в августе

Примерно три месяца спустя Canon публично подтвердила атаку с использованием программ-вымогателей в начале августа, которая затронула серверы ...

Хакеры любят просроченные домены

Иногда владельцы веб-сайтов не хотят продолжать иметь доменное имя и позволяют ему ...

Word: как добавить один и тот же текст в несколько документов с помощью одной ссылки

Microsoft Word позволяет легко добавлять один и тот же текст в несколько документов. Это особенно удобно для текста со специальным форматированием, ...

Черная пятница: киберпреступники следят за вашими покупками

Из-за условий, возникших в результате пандемии COVID-19, в Черную пятницу и ...

Фертильность в США: атака программ-вымогателей на крупнейшую сеть фертильности в США!

US Fertility, крупнейшая сеть фертильности в США, объявила, что некоторые из ее систем были зашифрованы в результате атаки вымогателя, которая ...