Вирус REVENGE бесплатно распространяется на форумах!
Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.
Первая версия вируса появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности вируса: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор вруса, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.
«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, — подводит итог исследователь. — Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на YouTube, размещенное автором [малвари]».
ПыСы: По адресу http://revenge-rat.(блог спот).ru блог автора вируса пустует...
Результаты проверки вируса:
https://virustotal.com/en/file/f3dffc94ecd03ba9ce1ad39b93bf9...
https://malwr.com/analysis/M2IzMDU1ODcyOGMwNGI5NTgwMjc4NjMyN...
На тему слабого определения вируса по вирус тоталу.
Боролся вручную с вируснёй (сам внёс, установив какую-то прогу для динамического DNS). Называет себя вирусня Yandex Service. Основной файл: yandexservice.exe
Ссыль на вирустотал: https://www.virustotal.com/ru/file/9e5b1e324c8a14aa7cc906cd0...
Если кто столкнулся с ним же, то ручное лечение:
1. Отключить службы яндекс сервис и днс сервис (кажется по английски называются, но и так понятно).
2. Найти файлы yandexservice.exe, dyndns.exe и наверняка srvany в виндовских папках syswow64 и system32
3. И перед тем как их удалить, сперва упорядочить файлы по дате и удалить все, созданные в ту же дату, что и эти (там около 5 файлов получится).
Написал это в основном для поиска, так как когда сам боролся, то пришлось всё рыть самому, в сети не нашёл помощи.
Буду его вместо Radmin на работе использовать
В свете того, что автор текста не понимает разницы между вируом и трояном я не очень понял о чём речь. Он обнаружил, что если скачать и с арабского форума некую прогу на VB, распаковать архив и самому запустить, она делает всякие каки и теперь удивляется, почему антивирусы ещё её не ловят? Так?
P.S. "Мы бедные афганские хакеры, у нас пока нет компьютера. Поэтому мы шлём вирусы обычным письмом. Уничтожьте все пришедшие к вам письма, включая непрочитанные, сотрите всё свои файлы с компьютера и разошлите это письмо всем своим знакомым".