BackDoor.RMS и вредоносы класса "Радмин"

Информация BackDoor.RMS и вредоносы класса "Радмин" 2015-05-22

В сети часто можно встретить трояны с детектом BackDoor.RMS или BackDoor.Radmin !

Что это такое и принцип действия:

Как оказалось что-бы "обойти АВ" достаточно использовать так-называемые "Потенциально-опасные" программы, это программы удалённого администрирования, управления компом и т.д.

Данные программы при настройках по умолчанию попадают в исключения большинство АВ и файерволов...

Итак принцип действия:


Хакер подготавливает специальную "Сборку", самое простое - это самораспаковывающийся архив, который "Скрыто" устанавливает сборку, не уведомляя об этом пользователя, далее на емаил хакеру или по определённому IP-адресу идёт "отстук" что жертва "Готова"...

Вот видео, как это можно использовать на примере KIS-2015:


Также в архиве для теста сама сборка, сборка именно для теста, т.е. в ней нет такой совсем скрытости, которой делают хакеры:Маскировка процессов, маскировка самой установки и т.д.

Как защитится:

1)Поменять настройки антивирусного сканера на "Обнаруживать потенциально-опасное ПО";

2)Настроить файерволл в "Интерактивный режим" БЕЗ созданий правил автоматически и отслеживать сетевую активность программ "вручную";

3)Обновлять базы;

4)Незапускать подозрительное ПО !

VT сборки:https://www.virustotal.com/ru/file/...4f968e82446d7dfe5baccaa7/analysis/1432289231/
Автор
Вирусняк_Бот
Загрузок
48
Первый релиз
Новые обновления
Рейтинг
5.00 звезд Оценок: 1

Новые рецензии

Наверное самое популярное ПО используемое злоумышленниками для корыстных целей,так как создание сборки не занимает много времени и не требует каких-то глубоких знаний в программировании.Цифровая подпись РМС добавляет софту "уважения" в глазах аверов.
Вверх