Троянская программа, позволяющая злоумышленнику просматривать трафик с целью извлечения из него паролей и прочей конфиденциальной информации, зачастую передаваемой в открытом виде.
Является приложением Windows (PE EXE-файл). Написана на Delphi. Имеет размер 160768 байт. Упакована при помощи UPX. Размер распакованного файла — около 417 КБ.
Инсталляция
Троянская программа представляет собой удаленный сетевой сканер, перехватывающий пакеты и анализирующий их содержимое. В процессе сканирования трафика используется WinPcap-библиотека (The Windows Packet Capture Library).
Сервер копируется с конкретным именем в указанный злоумышленником каталог, а также добавляет себя в ключ автозапуска системного реестра. Имя данного ключа аналогично определяется злоумышленником:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<имя ключа>" = "<путь до троянской программы>"
Таким образом, при каждом последующем старте ОС автоматически запускает файл троянца.
Деструктивная активность
Сервер работает в резидентном режиме на машине жертвы, ожидая соединения с компьютером злоумышленника. При подключении клиента (после проверки его логина и пароля) сканер сети позволяет осуществлять следующие действия:
* протоколировать весь трафик относительно указанного IP-адреса; * протоколировать весь трафик относительно указанных портов; * протоколировать весь трафик, содержащий определенные строки; * получать список доступных сетевых адаптеров; * удаленно запускать и перегружать сервер сканера.
Другие названия
Trojan-Spy.Win32.RemoteSniffer.030 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.RemoteSniffer.030 («Лаборатория Касперского»), BackDoor-AFF (McAfee), Backdoor.Trojan.Client (Symantec), Trojan.Aphex.33 (Doctor Web), Troj/RemSniff (Sophos), Trojan:Win32/Asniff.0_33 (RAV), BKDR_ASNIFF.030 (Trend Micro), BDS/Aphex.050.Srv (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Aphex (Grisoft), Trojan.Asniff.0.3.3 (SOFTWIN), Trj/Spy.RemoteSniff (Panda), Win32/Spy.RemoreSniffer.030 (Eset)
Первое — находим постоянно, второе — ждем вас