Банкер MnuBot использует в качестве командных серверов машины с Microsoft SQL - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
2-06-2018, 22:00
Банкер MnuBot использует в качестве командных серверов машины с Microsoft SQL - «Новости»
Рейтинг:
Категория: Новости

Специалисты IBM рассказали об обнаружении банковского трояна MnuBot, в настоящее время атакующего цели в Бразилии. Малварь написана на Delphi и общается со своими управляющими серверами посредством серверов Microsoft SQL (MSSQL).


MnuBot состоит всего из двух основных компонентов. Первый компонент отвечает за начальную стадию заражения и проверяет наличие файла  Desk.txt в директории AppData Roaming. Если такой файл существует, значит система уже скомпрометирована банкером. Если же файла нет, троян создает его и открывает новую среду рабочего стола (в тайне от пользователя). Все данные об этих операциях сохраняются в Desk.txt, чтобы компонент второй стадии заражения «знал», с чем работает.


Компонент второй стадии заражения, сохраняющийся в C:UsersPublicNeon.exe, представляет собой полноценный RAT-троян (remote access trojan), который сообщается с базами MSSQL, принадлежащими злоумышленникам, и получает от них все необходимые инструкции.





Исследователи объясняют, что обычно вирусы, написанные на Delphi, оказываются очень простыми, но MnuBot отличается от своих «собратьев». В частности, преступники контролируют малварь посредством удаленных БД MSSQL. В коде трояна содержатся зашифрованные учетные данные для подключения к таким серверам. Лишь попав на компьютер жертвы, MnuBot динамически расшифровывает их и устанавливает соединение с БД. В итоге все контакты вредоноса с управляющими серверами выглядят как обычный SQL-трафик, включая запросы на получение новых команд и сами команды.


«Вероятнее всего, авторы MnuBot хотели попытаться избежать обнаружения обычными антивирусными механизмами, которые основываются на вредоносном трафике. Для этого они скрывают свой вредоносный трафик под маской безобидного на первый взгляд трафика Microsoft SQL», — пишут эксперты IBM.


Поддержание постоянной связи с серверами MSSQL открывает перед операторами трояна, которых специалисты называют весьма умелыми вирусописателями, и другие возможности. Так, MnuBot обращается к серверу MSSQL через равные промежутки времени и получает от удаленной БД файл конфигурации, то есть нет нужды жестко прописывать в код малвари множество настроек. Более того, разработчики вируса в любой момент имеют полный контроль над своими операциями, могут изменять конфигурацию малвари и направлять ей обновления практически в реальном времени. В случае обнаружения, злоумышленникам достаточно увести свои базы MSSQL в оффлайн, после чего исследователи или сотрудники банка, которые обнаружили и пытались изучить атаку, не смогут добиться от трояна практически ничего.


Источник новостиgoogle.com

Специалисты IBM рассказали об обнаружении банковского трояна MnuBot, в настоящее время атакующего цели в Бразилии. Малварь написана на Delphi и общается со своими управляющими серверами посредством серверов Microsoft SQL (MSSQL). MnuBot состоит всего из двух основных компонентов. Первый компонент отвечает за начальную стадию заражения и проверяет наличие файла Desk.txt в директории AppData Roaming. Если такой файл существует, значит система уже скомпрометирована банкером. Если же файла нет, троян создает его и открывает новую среду рабочего стола (в тайне от пользователя). Все данные об этих операциях сохраняются в Desk.txt, чтобы компонент второй стадии заражения «знал», с чем работает. Компонент второй стадии заражения, сохраняющийся в C:UsersPublicNeon.exe, представляет собой полноценный RAT-троян (remote access trojan), который сообщается с базами MSSQL, принадлежащими злоумышленникам, и получает от них все необходимые инструкции. Исследователи объясняют, что обычно вирусы, написанные на Delphi, оказываются очень простыми, но MnuBot отличается от своих «собратьев». В частности, преступники контролируют малварь посредством удаленных БД MSSQL. В коде трояна содержатся зашифрованные учетные данные для подключения к таким серверам. Лишь попав на компьютер жертвы, MnuBot динамически расшифровывает их и устанавливает соединение с БД. В итоге все контакты вредоноса с управляющими серверами выглядят как обычный SQL-трафик, включая запросы на получение новых команд и сами команды. «Вероятнее всего, авторы MnuBot хотели попытаться избежать обнаружения обычными антивирусными механизмами, которые основываются на вредоносном трафике. Для этого они скрывают свой вредоносный трафик под маской безобидного на первый взгляд трафика Microsoft SQL», — пишут эксперты IBM. Поддержание постоянной связи с серверами MSSQL открывает перед операторами трояна, которых специалисты называют весьма умелыми вирусописателями, и другие возможности. Так, MnuBot обращается к серверу MSSQL через равные промежутки времени и получает от удаленной БД файл конфигурации, то есть нет нужды жестко прописывать в код малвари множество настроек. Более того, разработчики вируса в любой момент имеют полный контроль над своими операциями, могут изменять конфигурацию малвари и направлять ей обновления практически в реальном времени. В случае обнаружения, злоумышленникам достаточно увести свои базы MSSQL в оффлайн, после чего исследователи или сотрудники банка, которые обнаружили и пытались изучить атаку, не смогут добиться от трояна практически ничего. Источник новости - google.com

Теги: CSS, MnuBot серверами Microsoft трояна получает

Просмотров: 2 706
Комментариев: 0:   2-06-2018, 22:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: