Вредоносная программа «Grabit»

В прошлом 28 мая Лаборатория Касперского опубликовала статью «Grabit and the RATs» [1], в которой выявляется новый тип вредоносной программы, также под названием «Grabit». В статье отмечается, что данная вредоносная программа предназначена на кражу информации из средних и маленьких  организаций различных отраслей, затронув системы Таиланда, Индии, Вьетнама, Ирана, Соединенных Штатов и других стран.

В этой вредоносной программе сочетаются функции кейлогера и удаленного управления зараженными машинами.

Функциональность кейлогера готовит файлы с введенной клавиатурой информацией, именами пользователей и паролями, также как и имена доменов и приложений. Согласно присутствующей в коде информации, в качестве кейлогера используется коммерческое приложение HawkEye, которое может быть онлайн приобретенным в Интернете, и который также распространились версии2 в составе других кампаний вредоносного программного обеспечения.

Функциональность внедренного вредоносной программой «Grabit» удаленного управления машинами, выполняется RAT-инструментами3, среди которых отмечается троянская программа, распространенная удаленным образом DarkComet, хотя она приготовлена для того, чтобы использовать и другие инструменты.

Среди его характеристик, Лаборатория Касперского отмечает переменчивость его поведения, основанного на различиях в размере, функциональности и техниках безопасности, находившихся в различных проанализированных образцах.

Лаборатория Касперского указывает на то, что вредоносная программа распространяется через вложение к сообщению электронной почте, в виде Word-документа (.doc), включающего макро (названное AutoOpen), которое устанавливает соединение с удаленным скомпрометированным сервером, для загрузки вредоносной программы.

В проведенных исследованиях, были обнаружены признаки активности вредоносной программы «Grabit» в кубинских сетях.

Чтобы защищаться от враждебного действия вредоносной программы «Grabit», Лаборатория Касперского специфически предлагает следующие рекомендации:

·      Проверять расположение:

       C:\Users\<USER-NAME>\AppData\Roaming\Microsoft. Если оно содержит исполняемые файлы, то могло бы иметь место заражение данной вредоносной программой.

·      Конфигурации ОС Windows не должны содержать исполняемый файл grabit1.exe в стартовой таблице. Нужно исполнять «msconfig» и убедится в том, что не существовали лог-файлы grabit1.exe.

Дополнительно рекомендуется не открывать вложения с неизвестных источников, и держать антивирусные программы в обновленном состоянии.

 

Russian