Разработчики вредоносного ПО используют исходный код RAT-трояна Njw0rm для создания новых вредоносов, способных предоставить взломщику полный доступ к ПК жертв. Об этом сообщили исследователи Trend Micro в блоге компании.
Njw0rm представляет собой модифицированную версию RAT-трояна njRAT. В июле 2014 г. специалисты Microsoft проводили операцию, нацеленную на обезвреживание обеих версий вредоносов. Еще тогда они сказали, что киберпреступники могут свободно создать собственную версию данного вредоносного ПО, поскольку необходимая информация и исходный код трояна находились в открытом доступе. По данным Trend Micro, исходный код Njw0rm был опубликован на хакерских форумах в мае 2013 г. Вскоре после этого киберпреступники начали создавать новые версии вредоносного ПО.
Одними из новых троянов, созданными на основе Njw0rm, стали Kjw0rm и Sir Do0om. Специалисты Trend Micro обнаружили их в январе и декабре 2014 года соответственно. Вредоносы оснащенны улучшенной панелью управления и могут собирать больше информации. К примеру, Kjw0rm может обнаруживать установленные антивирусы и определять версию установленного пакета .NET Framework, в то время как Sir Do0om может передавать злоумышленнику информацию о характеристиках ПК жертвы, установленном антивирусном ПО и межсетевых экранах.
Njw0rm может исполнять произвольные команды и запускать файлы, похищать логины и пароли, а также автоматически обновляться. Его улучшенная версия Kjw0rm может выключать или перезагружать компьютер, загружать и открывать произвольные файлы. Еще более интересным выглядит Sir Do0om – троян может майнить биткоины, запускать DDoS-атаки, контролировать ПК по таймеру, завершать процессы антивирусных программ и открывать web-сайт, на котором отображается текст Корана. Трояны распространяются через переносные устройства. Они скрывают папки на флешках и создают ярлыки с их именами, которые на самом деле открывают вредонос. (Trend Micro/NovostIT)