202

Вирус REVENGE бесплатно распространяется на форумах!

Независимый исследователь, известный под псевдонимом Rui, решил изучить новый RAT (Remote Access Trojan) Revenge. Внимание исследователя привлек тот факт, что образчик трояна, загруженный на VirusTotal, показал результат 1/54, то есть практически не обнаруживался антивирусными продуктами. Выяснилось, что Revenge написан человеком, который известен под ником Napoleon, и распространяется совершенно бесплатно.
Вирус REVENGE бесплатно распространяется на форумах! Вирус, Удаленный доступ, Распространение, Форум, Видео, Revenge, Длиннопост
Вирус REVENGE бесплатно распространяется на форумах! Вирус, Удаленный доступ, Распространение, Форум, Видео, Revenge, Длиннопост
О трояне Rui случайно узнал из твиттера, где другой исследователь опубликовал ссылку на результаты проверки, произведенной VirusTotal, а также приложил ссылку на арабский форум Dev Point, на котором распространялся вирус. Rui заинтересовался вопросом, перешел на указанный в сообщении форум, где действительно обнаружил ссылку на сайт разработчика вредоноса, размещенный на платформе blogger.com. С сайта исследователь без проблем скачал архив, содержащий Revenge-RAT v.0.1.
Вирус REVENGE бесплатно распространяется на форумах! Вирус, Удаленный доступ, Распространение, Форум, Видео, Revenge, Длиннопост

Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.


Первая версия вируса появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности вируса: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор вруса, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.

Содержимое архива, скачанного Rui
Вирус REVENGE бесплатно распространяется на форумах! Вирус, Удаленный доступ, Распространение, Форум, Видео, Revenge, Длиннопост
«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, — подводит итог исследователь. — Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на YouTube, размещенное автором [малвари]».
Результаты своих изысканий исследователь передал операторам VirusTotal, и теперь рейтинг обнаружения Revenge уже составляет 41/57. Так как некоторые известные антивирусы по-прежнему «не видят» трояна, Rui пишет, что «это просто демонстрирует, насколько ущербна вся антивирусная индустрия в целом».

ПыСы: По адресу http://revenge-rat.(блог спот).ru блог автора вируса пустует...


Результаты проверки вируса:

https://virustotal.com/en/file/f3dffc94ecd03ba9ce1ad39b93bf9...

https://malwr.com/analysis/M2IzMDU1ODcyOGMwNGI5NTgwMjc4NjMyN...

Найдены дубликаты

+14

На тему слабого определения вируса по вирус тоталу.

Боролся вручную с вируснёй (сам внёс, установив какую-то прогу для динамического DNS). Называет себя вирусня Yandex Service. Основной файл: yandexservice.exe

Ссыль на вирустотал: https://www.virustotal.com/ru/file/9e5b1e324c8a14aa7cc906cd0...


Если кто столкнулся с ним же, то ручное лечение:

1. Отключить службы яндекс сервис и днс сервис (кажется по английски называются, но и так понятно).

2. Найти файлы yandexservice.exe, dyndns.exe и наверняка srvany в виндовских папках syswow64 и system32

3. И перед тем как их удалить, сперва упорядочить файлы по дате и удалить все, созданные в ту же дату, что и эти (там около 5 файлов получится).


Написал это в основном для поиска, так как когда сам боролся, то пришлось всё рыть самому, в сети не нашёл помощи.

+12
Вот именно поэтому опытные администраторы используют антивирус как элемент защиты, а не защиту в целом.
+5

Буду его вместо Radmin на работе использовать

раскрыть ветку 6
0

простите, а можно небольшой мануал по настройке? А то вводил локальный ип, внешний ип - не видит компы никак.... А по 127.0.0.1 вродеб работает, но только мой :C

раскрыть ветку 5
+2

Да тут же все просто. localhost это в данном случае это адрес принимающей стороны. т.к. демонстрация проходит на одной машине, то и он пишет, что адрес приемника локалхост. Например моя рабочая подсеть /22 . И получается, что Server.екзе, который компилируется после с параметром приемника x.x.4.3, а сам при этом имеет стоим на компе адрес x.x.6.254

Еще про порты. Если вы указали перед компиляцией внешний белый IP адрес, то не забудьте на своем шлюзе открыть и пробросить порт до вашей локальной машины на которой установлен приемник.

Т.е. в примере было так 127.0.0.1:333, соответственно в локальной сети адрес будет 192.168.1.10:333 на компьютере должен быть открыть порт на фаерволле, а внешний будет например 8.8.8.8:333 и тут уже порт надо открывать и пробрасывать до вашего ПК на  роутере

раскрыть ветку 3
0

откуда скачать можно?

+2

В свете того, что автор текста не понимает разницы между вируом и трояном я не очень понял о чём речь. Он обнаружил, что если скачать и с арабского форума некую прогу на VB, распаковать архив и самому запустить, она делает всякие каки и теперь удивляется, почему антивирусы ещё её не ловят? Так?


P.S. "Мы бедные афганские хакеры, у нас пока нет компьютера. Поэтому мы шлём вирусы обычным письмом. Уничтожьте все пришедшие к вам письма, включая непрочитанные, сотрите всё свои файлы с компьютера и разошлите это письмо всем своим знакомым".

раскрыть ветку 2
0
Нет, с форума скачивается комплект в котором ты прописываешь свой комп и генерируешь вирус, который уже распространяешь, исполняемый файл которого весит 54 кб. Потом, уже дурачок несчастная жертва запускает его.
раскрыть ветку 1
0

По поведению - как обычный backdoor, странно что эвристика его не видела

+2
Печально что исходника нету((
раскрыть ветку 2
0

Да есть исходник. Так как это .Net, то бери dotPeek и смотри прямо бинарь.

Понаписал он кода, конечно там... Но да, все очень примитивно.

-1

А зачем они тебе? Ни чего хорошего в них не увидишь, сплошной примитивизм...

+1

сначала пишет тело, потом под каким нибудь хитрым предлогом будит писать то, что втюхает его пользователю и вот тут уже придется изворачиваться, где его и будет рюхать какой нибудь антивирусник, когда пишет тело, то просто делится опытом на форуме ну соответственно получает советы от остальных, но увы наш "доблестный" Rui спалил контору и сделал фигово как прогерам так и антивирусникам) одному пришлось сваливать с насиженного места и шифроваться (уходить в подполье tor), а вторым тупо добавлять в базу ключевые переменные и методы по которым эту прогу можно распознать и всего то.

...и кхм именно прогу, так как вирусом то и это пока сложно назвать, вы же не называете клиента TeamW вирусом? user все запустил цивильно с своего согласия, да мало ли чего он сам хочет запустить на своем собственном компьютере и что теперь с этим делать антивирусу? они просто чтобы на них лишний раз ушат грязи не выливали не стали оправдываться и тупо добавили в базу его поиск по ключевым методам и переменным.

Да и вообще, где черт тебя побери сам вирус? и код? Блин неплохая штука ведь написана, почему не дали ссылки для скачать?) даа да конечно ознакомиться) а то соберешься писать и вечно есть время только на одно либо поизобретать методы обхода автозапуска либо доделывать все красиво в gui управлении)

раскрыть ветку 1
+3
Да и вообще, где черт тебя побери сам вирус? и код?

Сорри. Я искал сам вирус, но

По адресу http://revenge-rat.(блог спот).ru блог автора вируса пустует...

Да и по ссылке скачивания из скриншота в статье Rui уже не вирус, а скриншот левой программы...

Так что вируса пока нет. Как и исходников...

Иллюстрация к комментарию
0

Блин, придётся ставить, ведь он распространяется совершенно бесплатно.

Иллюстрация к комментарию
0

Заголовок какой-то рекламный. Не хватает фразы "до конца акции всего два дня!".

0

"отслеживать жертву по IP-адресу" - не зря школота говорит, по ip вычислю )

0

1 файл (на картинке) - архив, 2 файл (ссылка на VT в посте) - уже сам exe-шник. В архивы, если постараться, можно спрятать так вирусы, что антивири 0/X выдавать будут. Только при распаковке уже правда и прояснится.

0

Доделает — будет продавать государственным разведкам.

0

Ссылка для тех, кому открыть гугл-транслейт:

http://up.dev-point.com/down-275987.html

Пароль: N A P O L E O N

раскрыть ветку 1
-1
Спасибо от лиги лени, могут наказать, и да у кого мокрые фантазии по поводу того билд спалили вирус тоталу) ищите криптор нормальный не один ав и тем более vt дня три не спалят после криптовки (кстати если билд после криптовки не закидывать на vt все гуд будет). Сумничал блядь я про себя
-12

Это одна из основных причин, почему я перешел на Mac)

раскрыть ветку 9
+4

А я веган... и вейпер.

раскрыть ветку 4
+2

а я беременная и у меня есть кот

раскрыть ветку 3
+5
Иллюстрация к комментарию
раскрыть ветку 2
-4

С Линуксом все еще хуже по софту( Я от Мака-то вою порой((

раскрыть ветку 1
0
дай зарядку для айфон 6эс
ещё комментарии
Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: