Воскресенье, 31 мая, 00:42
дома безопасность Новый вирус KBOT вводит вредоносный код в файлы Windows и ворует данные!

Новый вирус KBOT вводит вредоносный код в файлы Windows и ворует данные!

Вы слышите термин "вирус" вместо вредоносного ПО после долгого времени !! Да, вы правильно слушаете. Исследователи обнаружили новую волну вредоносной кампании под названием «KBOT», которая вставляет вредоносный код в исполняемые файлы Windows.

Они описывают его как живой вирус, который за последние несколько лет широко распространился через зараженный внешний диск, локальную сеть и Интернет воспроизводить себя, изменяя другие компьютерные программы, используя свой собственный код.

Успешное «заражение» замедлит работу системы, внедрив системный процесс, и получит полный контроль над системой, лично украдя ее. данные который будет использовать для кражи банковских данных пользователей.

KBOT также загружает дополнительные модули с возможностью кражи для сбора пароли / logins, данные криптовалюты, списки файлов и установленные приложений и доставка на серверы C2.

KBOT

Как КБОТ заражает

Процесс заражения вирусом KBOT начинается агрессивно с репликаций в локальной сети и быстро распространяется на другой компьютер, заражая исполняемые файлы без возможности восстановления.

KBOT мгновенно заражает все файлы EXE, включая разделы жесткого диска, внешние носители, сетевые диски и сетевые папки, используя вредоносный код.

KBOT добавляет зашифрованные данные (используя метод XOR) в конец следующих файлов .rsrc, .data, .rdata, а зашифрованные данные содержат «тело» библиотеки основного вредоносного ПО (DLL), а также код для расшифровки.

Он также может работать в системных приложениях и пытаться заразить код в текущем процессе.

Попробуйте угнать DLL

Вредоносная программа KBOT делает попытку угона DLL, заражая двоичные файлы система когда система запускается.

Вирус ищет специально исполняемые EXE-файлы, которые подходят для атаки на папку C: \ Windows \\ System32. Затем он вносит изменения в права доступа к файлу, в имена и в своем роде.

Чтобы получить удаленный доступ к системе, Хакеры За KBOT создайте обратные ссылки на серверы, указанные в файле BC.ini.

Вирус также получил несколько команд от сервера C2, управляемого злоумышленником.

  • DeleteFile - удалить этот файл.
  • UpdateFile - обновить этот файл.
  • UpdateInjects - обновить до ini.
  • UpdateHosts - обновить обновление.
  • UpdateCore - обновление до основного модуля бота и файла конфигурации kbot.ini.
  • Удалить - удалить вредоносную программу.
  • UpdateWormConfig - обновление до worm.ini, которое содержит информацию о расположении EXE-файлов, подлежащих заражению.

Вирус также настраивает параметры сервера удаленного рабочего стола для создания нескольких одновременных сеансов с использованием протокола RDP.

«Это позволяет его операторам контролировать скомпрометированная система удаленно, крадет лично данные и украсть банковские данные пользователей », - сказал исследователь Касперского.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

LIVE NEWS

Cisco была взломана с использованием серверов SaltStack

Сегодня Cisco заявила, что некоторые из серверов поддержки Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) были скомпрометированы из-за использования критически важных ...

Valak Malware: крадет данные с серверов Microsoft Exchange

В 2019 году Valak Malware был впервые обнаружен как загрузчик вредоносных программ. Однако недавно стало известно, что ...

Устройство «против 5G» стоимостью 350 долларов - это всего лишь USB-накопитель

Поклонники теории заговора 5G уже приобрели USB-ключ против 5G за $ 350, который ...

Windows 10 Pro с 13 $ с кодом скидки SecNews

Получите Windows 10 Pro за 13 долларов с дисконтным кодом SecNews: в настоящее время рабочие часы ...

Утечка данных 47,5 миллионов пользователей Truecaller

Приложение Truecaller помогает выявлять анонимные звонки и позволяет выделять спамеров.

Call of Duty Warzone: официальный анонс нового сезона!

"Call of Duty: Warzone Season 4" подтвердил свой релиз 3 июня, разместив трейлер через официальный аккаунт ...

АНБ: Самые известные российские хакеры совершают новые атаки!

Как объявило АНБ в четверг, идет кампания по взлому электронной почты, в которой участвует пресловутая российская разведывательная группа, которая ...

Mitron: индийская альтернатива TikTok становится все более популярной

После стремительного успеха TikTok было создано несколько приложений, предлагающих аналогичные функции ...

GitHub: предупреждает разработчиков Java о новых вредоносных программах

GitHub Inc. предупреждает разработчиков о новом вредоносном ПО, которое распространяется на его сайт через ...

Критические уязвимости в плагине WordPress: Обновите немедленно!

В плагине WordPress PageLayer были обнаружены две очень серьезные уязвимости, которые, если используются хакерами, могут ...