Бифрост (Троянский конь)
 | Эта статья включает список литературы , связанную литературу или внешние ссылки , но ее источники остаются неясными, поскольку в ней отсутствуют встроенные цитаты . ( Апрель 2009 г. ) |
| Бифрост | |
|---|---|
| Техническое название | Бифрост |
| Псевдоним | ( Уязвимость метафайла Windows , связанная с: Backdoor-CEP, Bifrost), Backdoor-CKA, Agent.MJ |
| Тип | Windows 95 , Windows 98 , Windows Me , Windows NT , Windows 2000 , Windows XP , Windows Server 2003 , Windows 7 , Windows 10 |
| Подтип | Черный ход |
| Классификация | Троян |
| Семья | Бифроза |
| Источник | Швеция |
| Авторы | ксв |
Bifrost — это семейство бэкдорных троянских коней , насчитывающее более 10 вариантов, которые могут заразить Windows 95–Windows 10 (хотя в современных системах Windows, после Windows XP, его функциональность ограничена). Bifrost использует типичную конфигурацию сервера, сборщика серверов и программы бэкдора клиента, чтобы позволить удаленному злоумышленнику, использующему клиент, выполнить произвольный код на взломанной машине (на которой работает сервер, поведением которого может управлять редактор сервера).
Серверный компонент (размером около 20–50 килобайт , в зависимости от варианта) вынесен на C:\Program Files\Bifrost\server.exe с настройками по умолчанию и при работе подключается к заранее определенному IP-адресу через TCP- порт 81, ожидая команд от удаленного пользователя, использующего клиентский компонент. Однако можно изменить как каталог установки, так и TCP-порт.
TCP-соединение шифруется паролем (по умолчанию: «pass»), но его также можно изменить.
Можно предположить, что как только все три компонента заработают, удаленный пользователь сможет по своему желанию выполнять произвольный код на взломанной машине. Компоненты сервера также можно переместить в C:\Windows, а атрибуты файлов изменить на «Только для чтения» и «Скрытый». Обычные пользователи могут не видеть каталоги по умолчанию из-за «скрытых» атрибутов, установленных для каталога. Некоторые антивирусные программы (например, AVG – 17 февраля 2010 г.), похоже, полностью пропускают файл.
Компонент сборки серверов имеет следующие возможности:
- Создайте серверный компонент
- серверного компонента. Измените номер порта и/или IP-адрес
- Измените имя исполняемого файла серверного компонента.
- Измените имя реестра Windows. стартовой записи
- Включите руткит , чтобы скрыть серверные процессы
- Включите расширения для добавления функций (добавляет 22 759 байт на сервер)
- Используйте постоянство (усложняет удаление сервера из зараженной системы).
Клиентский компонент имеет следующие возможности:
- Диспетчер процессов (просмотр или уничтожение запущенных процессов)
- Файловый менеджер (просмотр, загрузка, загрузка или удаление файлов)
- Диспетчер окон (просмотр, закрытие, развертывание/свертывание или переименование окон)
- Получить информацию о системе
- Извлечь пароли с машины
- Регистрация нажатий клавиш
- Снимок экрана
- Захват веб-камеры
- Выход из рабочего стола, перезагрузка или выключение
- Редактор реестра
- Удаленная оболочка
28 декабря 2005 г. эксплойт Windows WMF был использован для установки на машины новых вариантов Bifrost. Некоторые обходные пути и неофициальные исправления были опубликованы до того, как Microsoft объявила и выпустила официальное исправление 5 января 2006 г. Эксплойт WMF следует считать чрезвычайно опасным.
В более старых вариантах Bifrost использовались разные порты, например 1971, 1999; имел другую полезную нагрузку, например C:\Winnt\system32\system.exe; и/или написали разные ключи реестра Windows .
Bifrost был разработан до появления UAC , поэтому Bifrost не может установиться в современных системах Windows, если он не запущен с правами администратора.
См. также
[ редактировать ]Внешние ссылки
[ редактировать ]- BackDoor-CEP от McAfee описывает поведение сервера при удаленном эксплойте WMF варианта Bifrost.
- BackDoor-CEP.cfg от McAfee описывает поведение клиентского и серверного редактора указанного варианта Bifrost.
- Backdoor-CKA от McAfee
- Backdoor.Bifrose от Symantec
- Backdoor.Bifrose.C от Symantec
- Трой/Бифроз-AJ от Sophos