KIVARS

KIVARS est une menace de porte dérobée qui n'affecte que les systèmes 32 bits. Cependant, les cybercriminels ont développé une deuxième version conçue pour les cibles 64 bits. KIVARS est livré aux ordinateurs compromis au cours de la deuxième étape de la chaîne d'attaque. L'infection initiale du logiciel malveillant est effectuée par une menace appelée « TROJ_FAKEWORD.A » qui agit comme un compte-gouttes. Une fois exécuté, il télécharge deux fichiers exécutables nommés « TROJ_KIVARSLDR » et « BKDR_KIVARS », et un document MS Word leurre qui sert de diversion montré à l'utilisateur. Les fichiers sont déposés à:

• % système Windows% \ iprips.dll - TROJ_KIVARSLDR
• % système Windows% \ winbs2.dll - BKDR_KIVARS
• C: \ Documents and Settings \ Administrator \ Local Settings \ Temp \ NO9907HFEXE.doc - document leurre

Le rôle de ' TROJ_KIVARSLDR ' est de charger la charge utile réelle de la porte dérobée à partir de ' BKDR_KIVARS ' et de l'exécuter en mémoire. Quant au KIVARS, il est équipé de toutes les fonctions nuisibles attendues d'une menace de porte dérobée donnant aux attaquants un contrôle quasi total sur le système compromis. Ils peuvent manipuler le système de fichiers, télécharger et télécharger des fichiers, prendre des captures d'écran arbitraires, contrôler la souris et le clavier en déclenchant des clics et des entrées, manipuler les fenêtres actives, etc. La porte dérobée est également équipée d'un module keylogger qui dépose les entrées saisies dans un fichier nommé ' klog.dat. '

Lors de la communication initiale avec les serveurs de Command-and-Control (C2, C&C) mis en place par les hackers, KIVARS inclut diverses informations système. La menace envoie l'adresse IP de la victime, la version du système d'exploitation, le nom d'utilisateur, le nom d'hôte, la disposition du clavier et le dossier récent du document / bureau aux attaquants sous une forme cryptée. La menace inclut également sa propre version dans les données envoyées.

Les versions mises à jour de KIVARS qui incluent des attaques contre des cibles 64 bits montrent peu d'écart en termes de fonctionnalités, à l'exception de deux changements importants. Tout d'abord, les fichiers pour le chargeur et la menace de porte dérobée livrée reçoivent des noms aléatoires. La deuxième mise à jour affecte la façon dont la charge utile de la porte dérobée a été chiffrée. Contrairement aux versions antérieures de la menace où seul l'octet magique «MZ» était chiffré, les variantes ultérieures utilisent un algorithme RC4 modifié pour le chiffrement.

Il est à noter que les acteurs de la menace derrière KIVARS ont également déployé le POISON du cheval de Troie d'accès à distance (RAT).