Sicherheitsexperten entdeckt einen neuen Angriff Kampagne, die auf die Ukraine trägt eine gefährliche neue Waffe konzentriert - die Vermin Malware. Nach den Berichten freigegeben ist dies eine stark aktualisierte Version des Quasar-Trojaner, der mit benutzerdefinierten Code weiter angepasst wurde. Der gefährliche Code ermöglicht die Kriminellen die volle Kontrolle über das kompromittierte Geräte zu überholen.
Die Vermin Malware Has Been Unleashed
Eine kürzliche Angriff Kampagne gegen Geräte in der Ukraine gelegen hat zur Entdeckung eines gefährlichen neuen Malware genannt Vermin führte. Die Forscher, die die Infektion erkannt weisen darauf hin, dass es sich um eine Gabel des Quasar Trojan ist, die eine Menge Code-Verbesserungen und kundenspezifische Ergänzungen enthält. Dies macht es eine sehr mächtige Waffe wegen der Tatsache, dass sie nicht direkt mit Quasar der Verhaltensmustern und ursprünglicher Malware-Engine verbunden ist,. Der fokussierte Angriff, der gegen das Land ist auf zwei Case-Szenarien unter Berücksichtigung verknüpft. Die erste ist mit der Tatsache verbunden, dass es möglich ist, dass die Hacker-Betreiber haben den Angriff mit einer konfektionierten Liste von Zielen vorkonfiguriert. Der zweite Vorschlag ist auf die Tatsache zurückzuführen, dass der Motor detaillierte Informationen über die Ländereinstellungen extrahieren. die gewonnenen Informationen mit Hilfe der Malware-Engine kann sich aktivieren, wenn sie der Auffassung, dass die kompromittiert Geräte lebensfähig sind. In anderen Fällen kann es selbst löschen Erkennung zu vermeiden.
Die Angriffe werden vor allem durch Nachrichten ausgelöst verteilt durch soziale Netzwerke, einer der wichtigsten Taktik war es, verschiedene gefälschte Twitter-Profile und Link zu nutzen, um infizierte Dokumente. Sie können unterschiedlicher Art sein, einschließlich: Rich-Text-Dokumente, Präsentationen und Tabellen. Die Kriminellen dahinter Einsatz Social-Engineering-Taktiken dass zwingen die Opfer in den Dateien interagieren. Sie werden gebildet, wie Dokumente durch das Land Verteidigungsministerium gemacht erscheinen. Die Dateien enthalten einen Köder selbstextrahier, die den Malware-Code aktiviert, die zu Infektionen führen.
Vermin Malware Infiltrations Tactics - Prozess der Malware
Sobald die Infektion begonnen ein eine sichere Verbindung mit einem Hacker-kontrollierten Server ist festgelegt. Das Interessante daran ist, dass die Betreiber die SOAP-Protokoll verwenden anstelle der gemeinsamen HTTP. Es ist vor allem zum Austausch von strukturierten Informationen und einer der Gründe, warum verwendet bevorzugt wurde, ist die Tatsache, dass automatisierte Sicherheits-Software in der Regel nicht dieses Protokoll überprüfen, da es nicht in den Standard-Signaturen enthalten sein können,. Eine detaillierte Analyse zeigt, dass die laufenden Kampagnen unterschiedliche kundenspezifische Stämme verfügen. Alle von ihnen sind variable Parameter des unter Verwendung der Entfernung schwierig in dem Fall, dass mehrere Infektionen zielen auf das gleiche Netzwerk machen kann.
Die ersten Kontrollen, die nach der Malware infiziert vorgenommen werden, werden auf die regionalen Einstellungen für. Die Malware-Engine ist in der Lage ein zu schaffen detailliertes Profil die Geräte des Opfers. Dies umfasst sowohl anonyme Metriken und personenbezogene Daten. Die erste Kategorie ist mit Hardware-Informationen und Systemvariablen im Zusammenhang. Es ist vor allem durch den Hacker-Betreiber verwendet, um zu beurteilen, wie wirksam die Angriffe sind. Die zweite Kategorie besteht aus Daten gemacht, dass das Opfer die Identität direkt aussetzen kann. Es besteht aus Strings, die ihren Namen verbunden sind, Anschrift, Telefonnummer, Geolocation, Vorlieben und Kontoinformationen.
Die Spezialisten zeigen, dass der Vermin Code sieht aus für vier spezifische Eingabesprachen: ru – Russisch, Vereinigtes Königreich – ukrainisch, ru-ru – Russisch und uk-ua – ukrainisch. Wenn eine der Prüfungen besteht weiterhin die Infektion weiter. Die Follow-up-Schritte werden zum Download von zusätzlichen Malware-Komponenten im Zusammenhang. Sie sind in verschlüsselter Form und on-the-fly sowie ausgeführt bald danach entschlüsselten. Während dieser Initialisierungsphase kann der Hacker ermöglicht eine Stealth-Schutz dass können alle detektierten Sicherheitsdienste umgehen. Dazu gehören Sandkästen, virtuelle Maschinen und Debug-Umgebung. Die Malware-Engine kann sie umgehen oder entfernen, nach den eingebauten Befehlen. In einigen Fällen, wenn es feststellt, dass es nicht in der Lage ist, es zu tun, so kann selbst löschen Erkennung zu vermeiden.
Neben allem anderen aufgedeckt die Analysten, dass die Bedrohung ein installiert Keylogger. Es wird in die verschiedenen Malware-Prozesse eingebettet und als eine verschleierte Adobe Printer Service. Der Prozess kann verschiedene Informationen sammeln - alle Tastenanschläge, Mausbewegung oder einzelne Wechselwirkungen, wie durch die Operatoren definierte. Die gesammelten Informationen werden verschlüsselt und dann in einem Ordner gespeichert:
%AppData% Microsoft Proof Settings.{ED7BA470-8E54-465E-825C-99712043E01C}\Profiles .
Jede einzelne Protokolldatei wird mit dem folgenden Format aufgezeichnet: "{0:DD / MM / JJJJ}.txt".
Vermin Malware-Funktionen
Sobald der Vermin Malware Zugriff auf den Computer hat und durch Einhaken an ihnen, die Systemprozesse infiltriert und die Schaffung von seiner eigenen Threads die Module erlauben die Kriminellen eine Vielzahl von Befehlen zu starten. Dies geschieht mit der speziell gesicherten Netzwerkverbindung über das zitierte SOAP-Protokoll. Die vollständige Liste enthält die folgenden Optionen:
- ArchiveAndSplit - Archiv Zieldateien und Split sie in Teile
- CancelDownloadFile Abbrechen A Lauf File Transfer -
- CancelUploadFile Abbrechen einer laufenden Upload-Prozess -
- CheckIfProcessIsRunning - Prüft, ob ein Ziel Prozess läuft.
- CheckIfTaskIsRunning - fragt das System für eine bestimmte Laufprozess.
- Ordner erstellen - Macht einen neuen Ordner in der angegebenen Position
- Dateien löschen - Entfernt eine Zieldatei.
- Lösche Ordner - Befehle, um die Malware einen Set-Ordner löschen.
- Download-Datei Ruft eine Datei von einem entfernten Standort -.
- GetMonitors - Prüft für alle Apps, die Überwachung des Systems sein kann.
- GetProcesses Ruft die Liste der laufenden Prozesse -.
- Tötungsprozess - Stoppen laufende Prozesse.
- ReadDirectory - Liest den Inhalt des Zielverzeichnisses.
- Datei umbenennen Umbenennen Zieldateien -.
- RunKeyLogger - Führt die Keylogger-Modul.
- SetMicVolume - Zum Einstellen der Lautstärke des Mikrofons.
- ShellExec - Führt bereitgestellt Befehle.
- Startseite Audio Capture - ermöglicht die Audioüberwachung.
- StartCaptureScreen - Ermöglicht das Screenshot-Modul.
- StopAudioCapture - Deaktiviert die Audioüberwachung.
- StopCaptureScreen - Hebt Das Screenshot-Modul.
- UpdateBot - Aktualisiert das Ausführen von Vermin Virus-Modul.
- Datei hochladen - Überträgt eine Datei auf den Befehl Server.
Die folgenden Domains wurden gefunden, so weit zu den Angriff Kampagnen werden:
akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]Info
www.akamainet023[.]Info
www.akamainet021[.]Info
akamainet023[.]Info
akamainet022[.]Info
akamainet021[.]Info
www.akamainet022[.]Info
akamainet066[.]Info
akamainet024[.]Info
www.cdnakamai[.]ru
NotifyMail[.]ru
www.notifymail[.]ru
mailukr[.]Netto-
Tech-adobe.dyndns[.]biz
www.mailukr[.]Netto-
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181
Vermin Virus Removal
Die komplexe Infektion Taktik, die mit dem Vermin Virus verbunden ist, zeigt, dass es nur Anti-Spyware-Lösung mit einer Qualität entfernt werden kann. Sobald die Infektionen Ort eine sehr gründliche Systemanalyse getroffen haben folgt, dass der Malware-Engine detaillierte Informationen gibt, wie die kompromittierte Maschine so konfiguriert ist,. Dies ermöglicht es dem Trojan alle wichtigen Komponenten des Betriebssystems beeinflussen. Als solche ist die Hacker-Betreiber können sensible Dateien abdichten, Spion auf die Opfer und verwenden Sie die geernteten Daten für erpresst und Betrugszwecke.
Wir empfehlen, alle Opfer hoch einen kostenlosen System-Scan, um zu laufen, um sicherzustellen, dass sie sicher sind eine vertrauenswürdige Sicherheitsanwendung. Die Lösung ist auch in der Lage, die Computer von allen eingehenden Angriffen zu sichern.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren