Security Lab

Trojan-Spy.Win32. RemoteSniffer.030

Trojan-Spy.Win32. RemoteSniffer.030

Троянская программа, позволяющая злоумышленнику просматривать трафик с целью извлечения из него паролей и прочей конфиденциальной информации, зачастую передаваемой в открытом виде.

Троянская программа, позволяющая злоумышленнику просматривать трафик с целью извлечения из него паролей и прочей конфиденциальной информации, зачастую передаваемой в открытом виде.

Является приложением Windows (PE EXE-файл). Написана на Delphi. Имеет размер 160768 байт. Упакована при помощи UPX. Размер распакованного файла — около 417 КБ.

Инсталляция

Троянская программа представляет собой удаленный сетевой сканер, перехватывающий пакеты и анализирующий их содержимое. В процессе сканирования трафика используется WinPcap-библиотека (The Windows Packet Capture Library).

Сервер копируется с конкретным именем в указанный злоумышленником каталог, а также добавляет себя в ключ автозапуска системного реестра. Имя данного ключа аналогично определяется злоумышленником:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя ключа>" = "<путь до троянской программы>"

Таким образом, при каждом последующем старте ОС автоматически запускает файл троянца.

Деструктивная активность

Сервер работает в резидентном режиме на машине жертвы, ожидая соединения с компьютером злоумышленника. При подключении клиента (после проверки его логина и пароля) сканер сети позволяет осуществлять следующие действия:

      * протоколировать весь трафик относительно указанного IP-адреса;
      * протоколировать весь трафик относительно указанных портов;
      * протоколировать весь трафик, содержащий определенные строки;
      * получать список доступных сетевых адаптеров;
      * удаленно запускать и перегружать сервер сканера.

Другие названия

Trojan-Spy.Win32.RemoteSniffer.030 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.RemoteSniffer.030 («Лаборатория Касперского»), BackDoor-AFF (McAfee), Backdoor.Trojan.Client (Symantec), Trojan.Aphex.33 (Doctor Web), Troj/RemSniff (Sophos), Trojan:Win32/Asniff.0_33 (RAV), BKDR_ASNIFF.030 (Trend Micro), BDS/Aphex.050.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Aphex (Grisoft), Trojan.Asniff.0.3.3 (SOFTWIN), Trj/Spy.RemoteSniff (Panda), Win32/Spy.RemoreSniffer.030 (Eset)

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение