T9000 не забудьте закрыть дверь в skype

Обновлено 10.02.2016

Всем привет, сегодня вернемся немного к теме безопасности, и я вас познакомлю, с новой не очень хорошей лазейкой, в skype. На днях на просторах великого интернета, на рисовался новый троян, который позволяет воровать у пользователя его файлы, создавать скриншоты и даже записывать видео звонки в в skype. Имя этого чудовища, T9000 не путать с терминатором T1000. T9000 это разновидность трояна T5000, из 13-14 годов, который в свое время атаковал автомобильную промышленность и правительства определенных стран, так сказать затачивался под партнера.

T9000 был найден вместе с фишинговыми письмами на электронных ящиках пользователей, и как можно догадаться, эти пользователи из США, а точнее государственные служащие, но как показала тенденция, T9000 очень универсален и может работать везде. И так как же он попадает на систему, а делается это через файл RTF формата, который использует уязвимость CVE-2012-1856 и CVE-2015-1641.

Если сравнивать его, со своими предшественниками, то T9000 круче, и сложнее поддается обнаружению. Устанавливается он через многоуровневый процесс, и каждый раз проверяет есть ли у вас антивирусник или нет, особенно его интересует (Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и Qihoo 360.)

Если ему удалось попасть в систему, то он собирает информацию о ней и отсылает ее на сервер злоумышленника, где умные хакеры уже ее исследуют. Основной урон наносят три модуля, устанавливаемые на компьютеры в зависимости от того, какая на них есть информация, заинтересовавшая злоумышленников.

Наиболее важен модуль tyeu.dat, шпионящий за общением в skype. Когда он запускается, то у пользователя возникает вот такое сообщение explorer.exe wants to use Skype, типа мол дайка мне доступ, и если жертва жмем Allow access, то она попалась, вы разрешаете ему записывать переписку, аудио и видео общение.

Модуль vnkd.dat ворует файлы с компьютера, все что представляет интерес у злоумышленников. Данные могут быть украдены в том числе с внешних устройств, к их числу относятся файлы с расширениями doc, ppt, xls, docx, pptx и xlsx. Модуль qhnj.dat позволяет серверу передавать на компьютер команды с возможностью создавать, перемещать и удалять файлы и папки, зашифровывать данные, копировать содержимое буфера обмена. Так, что китайцы продолжают бомбить пендосов.