ГлавнаябезопасностьНовый вирус KBOT вводит вредоносный код в файлы Windows и ворует данные!

Новый вирус KBOT вводит вредоносный код в файлы Windows и ворует данные!

Через долгое время вы услышите термин «вирус» вместо вредоносного ПО !! Да ты прав. Исследователи обнаружили новую волну вредоносных кампаний под названием «KBOT», которые вставляют вредоносный код в исполняемые файлы Windows.

Они описывают его как живой вирус, который за последние несколько лет широко распространился через зараженный внешний диск, локальную сеть и Интернет воспроизводить себя, изменяя другие компьютерные программы, используя свой собственный код.

Успешное «заражение» замедлит систему, внедрив системный процесс, и получит полный контроль над системой удаленно, украдет лично данные который будет использовать для кражи банковских данных пользователей.

KBOT также загружает дополнительные модули с возможностью кражи для сбора пароли / logins, данные криптовалюты, списки файлов и установленные приложений и доставка на серверы C2.

Как КБОТ заражает

Процесс заражения вирусом KBOT начинается агрессивно с репликаций в локальной сети и быстро распространяется на другой компьютер, заражая исполняемые файлы без возможности восстановления.

KBOT мгновенно заражает все файлы EXE, включая разделы жесткого диска, внешние носители, сетевые диски и сетевые папки, используя вредоносный код.

KBOT добавляет зашифрованные данные (с помощью метода XOR) в конец следующих файлов. для расшифровки.

Он также может работать в системных приложениях и пытаться заразить код в текущем процессе.

Попробуйте угнать DLL

Вредоносная программа KBOT делает попытку угона DLL, заражая двоичные файлы система когда система запускается.

Вирус ищет специально исполняемые EXE-файлы, которые подходят для атаки на папку C: \ Windows \\ System32. Затем он вносит изменения в права доступа к файлу, в имена и в своем роде.

Чтобы получить удаленный доступ к системе, Хакеры За KBOT создайте обратные ссылки на серверы, указанные в файле BC.ini.

Вирус также получил несколько команд от сервера C2, управляемого злоумышленником.

  • DeleteFile - удалить этот файл.
  • UpdateFile - обновить этот файл.
  • UpdateInjects - обновить до ini.
  • UpdateHosts - обновить обновление.
  • UpdateCore - обновление до основного модуля бота и файла конфигурации kbot.ini.
  • Удалить - удалить вредоносную программу.
  • UpdateWormConfig - обновление до worm.ini, которое содержит информацию о расположении EXE-файлов, подлежащих заражению.

Вирус также настраивает параметры сервера удаленного рабочего стола для создания нескольких одновременных сеансов с использованием протокола RDP.

"Это позволяет операторам контролировать его скомпрометированная система удаленно, крадет лично данные и красть банковские данные пользователей ", - сказал следователь Касперского.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ