«Врач Интернет» исследовал принцип работы зловреда BackDoor.Ragebot.45, способного заражать архивы и устранять иные вредные платформы.
Ragebot — это червяк, распространяющийся через технологию бравённого доступа VNC (Virtual Network Computing). Зловред приобретает команды с применением протокола для размена текстовыми известиями IRC (Internet Relay Chat). Для этого он подключается к чат-каналу, по которому мошенники дают правящие директивы.
Ragebot заражает ПК под регулированием Виндоус. Попав в технологию, червяк пускает Ftp, за счет которого закачивает на атакуемый ПК собственную копию. Потом он сканирует подходящие сабсети в поисках участков с открытым портом 5900, применяемым для компании объединения с помощью системы бравённого доступа к десктопу VNC. Найдя такую автомашину, Ragebot старается получить к ней неразрешенный доступ оковём перебора паролей по перечню.
Если взлом получился, червяк ставит с бравённым ПК VNC-соединение и посылает знаки нажатия кнопок, при помощи которых пускает интерпретатор команд CMD и осуществляет в нём код для закачки по протоколу FTP своей копии. Это гарантирует автоматическое распределение.
Червяк способен заражать RAR-архивы на съёменьших носителях, внедряя в них собственную копию маскируясь под exe-файла. Впрочем, инфицирование в этом случае происходит лишь тогда, когда клиент собственноручно опустит выполняемый документ.
В конце концов, по командам мошенников Ragebot способен находить в системе посторонние троянские платформы, заканчивать их процессы и устранять аналогичные модули.