sagrus

Вирус на основе Remote Manipulator System (RMS)

Рекомендованные сообщения

ac20e0b7b31c.png

 

RMS Удаленный доступ

 

Не каждый антивирус с этим справится вот что опасно.

 

Remote Manipulator System — программа для удаленного управления и контроля компьютеров в сети.

Идеально подходит для работы через Интернет. Доступно управление удаленным рабочим столом, передача файлов, инвентаризация парка ПК и многое другое. Полная совместимость с Windows 7 и графической оболочкой «Aero». Доступна бесплатная версия программы.

Больше нет необходимости конфигурировать сетевые экраны и маршрутизаторы.

NAT — больше не препятствие. Благодаря функции «Internet-ID» теперь можно настроить удаленный доступ к компьютеру через Интернет без IP адреса не обладая специальными навыками системного администратора.

 

Remote Manipulator System позволяет получить полный контроль над удаленным компьютером.

В том числе передавать на удалённый компьютер изображение с Web-камеры и звук.

Доступные режимы соединения:

 

* Управление и наблюдение

* Файловый менеджер

* Текстовый чат

* Управление питанием

* Диспетчер задач

* Соединение по протоколу RDP

* Диспетчер устройств

* Подключение к командной строке

* Запись экрана по расписанию

* Простое текстовое сообщение

* Поддержка нескольких мониторов

* Удаленная установка

* Wake-On-Lan

* Удаленный реестр.

* Функция «Выполнить»

* Подключение к web-камере.

 

Работает везде.

Продукт может работать в любой конфигурации сети. NAT и сетевые экраны — не помеха.

 

СКРЫТАЯ установка СКРЫТОЙ сборки программы серверной части Remote Manipulator System + шпионских утилит по сбору и отправке паролей и адресов.

Что это означает? Это означает, что через Интернет данный компьютер был полностью доступен злоумышленникам и они могли делать с ним всё, что угодно (копировать файлы к себе на удалённый компьютер, удалять и изменять их, видеть экран в режиме реального времени и делать записи экрана по расписанию, слушать звук с микрофона - т.е. подслушивать, включать Web-камеру - т.е. подглядывать и многое-многое другое...). 

ЭТО ОЧЕНЬ СЕРЬЁЗНАЯ ОПАСНОСТЬ!!!

 

Всё дело в том, что готовя скрытую установку скрытого сервера, злоумышленники подготовились к "заметанию следов" и внедрили деинсталлятор, который скрытно удаляет сервер с компьютера пользователя (иногда это требуется сделать для подключения к другому компьютеру, тоже со скрытым RMS-сервером по Internet ID - сборку удаляют на одном компьютере и подключаются к другому - два по одному ID работать не могут, всегда возникает конфликт). Но это детали, важно, что в папке windows/system32 лежит скрытый файл de.exe который при запуске удаляет с компьютера скрытый RMS-сервер и тоже самоудаляется. Можно его найти и запустить, он сам решит проблему.

Однако я рекомендую после этой процедуры всё-же вручную почистить Реестр.

 

Как же могла произойти скрытая (когда владелец компьютера даже и не подозревает ни о чём!) установка скрытого (почти никак не проявляющего своё присутствие и свою активность на компьютере) сервера Remote Manipulator System?

Вот, что я узнал, изучая Интернет.

Обычно злоумышленники используют два метода. Либо пользователю подсовывается сам скрытый инсталлятор скрытого RMS (это файл с расширением EXE и размером от 2 до 3 мгб) либо скрытый загрузчик этого самого файла из Интернета (файл с расширением EXE и размером около 500 кбт), тогда при запуске этого файла происходит скрытое скачивание инсталлятора из Интернета и затем скрытая установка сервера. Подавляющее большинство антивирусных программ при этом скромно МОЛЧАТ... (что, принципиально, вполне объяснимо - ведь вирусов, как таковых, в сборке НЕТ, вам только устанавливают на компьютер ЛЕГАЛЬНУЮ программу СКРЫТНО и для работы в СКРЫТОМ режиме).

В этом, как я склонен считать, ВСЯ ОПАСНОСТЬ И КРОЕТСЯ.

Имена у этих исполняемых файлов могут быть ЛЮБЫМИ. После запуска и отработки они самоудаляются с компьютера. "Впаривают" их доверчивым людям под самыми разными предлогами.

Например, самораспаковывающийся архив под видом Прайс Листа очень престижных товаров, распродающихся с огромными скидками --- женщины, желая просмотреть полный список товаров на распродаже, обычно "ведутся" без труда. Мой коллега, кстати сказать, по всей вероятности заполучил скрытый инсталлятор под видом предложения услуг поставщиком сопутствующих товаров потенциальным партнёром по бизнесу. А бывали и случаи, когда скрытый RMS устанавливал на компьютер пользователя вызванный по объявлению "компьютерный мастер". Следите, что делают с Вашим компьютером посторонние люди, а лучше всего - никого к нему не допускайте.

 

Вот, что пишут распространители этой заразы по этому поводу на форуме хакеров (цитата) :

 

Начну с перечисления того, что собой представляет сборка:

1. Полностью скрытая установка (экран не моргает в отличии от Радмина)

2. После запуска установщик самоудаляется.

3. Все файлы сборки скрыты/системны, жертве будет сложнее что-то заметить

4. Все сохраненные пароли компьютера отправляются к Вам на почту (а именно от Mozilla/Opera/IE/Chrome и много много чего другого, впредь до клиента от PokerStars). Мы будем использовать программу Multi Password Recovery v.1.2.5 (новая v.1.2.6 сильно палится).

5. Вам на почту дополнительно отправляется IP, но он нам не понадобится скорее всего, так как мы будем использовать Internet-ID(для обхода NAT - неизвестно что там у "жертвы")

6. Вес будет ~2,8мб, но я обычно создаю даунлоадер ~500кб (скачивает Вашу сборку с сервера, устанавливает, и самоудаляется)

7. Не палится никакими антивирусами (раньше ругался на него Касперский, теперь удалили из баз. Также Антивирусы могут кричать на Multi Pass Recovery, я использовал версию 1.2.5, отличий от 1.2.6 почти нет, но палится гораздо меньше)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.