Вирус REVENGE бесплатно распространяется на форумах!

Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.

Первая версия вируса появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности вируса: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор вруса, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.

ПыСы: По адресу http://revenge-rat.(блог спот).ru блог автора вируса пустует.

Результаты проверки вируса:

1.3K постов 23.5K подписчиков

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту. 2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

На тему слабого определения вируса по вирус тоталу.

Боролся вручную с вируснёй (сам внёс, установив какую-то прогу для динамического DNS). Называет себя вирусня Yandex Service. Основной файл: yandexservice.exe

Если кто столкнулся с ним же, то ручное лечение:

1. Отключить службы яндекс сервис и днс сервис (кажется по английски называются, но и так понятно).

2. Найти файлы yandexservice.exe, dyndns.exe и наверняка srvany в виндовских папках syswow64 и system32

3. И перед тем как их удалить, сперва упорядочить файлы по дате и удалить все, созданные в ту же дату, что и эти (там около 5 файлов получится).

Написал это в основном для поиска, так как когда сам боролся, то пришлось всё рыть самому, в сети не нашёл помощи.

Буду его вместо Radmin на работе использовать

В свете того, что автор текста не понимает разницы между вируом и трояном я не очень понял о чём речь. Он обнаружил, что если скачать и с арабского форума некую прогу на VB, распаковать архив и самому запустить, она делает всякие каки и теперь удивляется, почему антивирусы ещё её не ловят? Так?

P.S. "Мы бедные афганские хакеры, у нас пока нет компьютера. Поэтому мы шлём вирусы обычным письмом. Уничтожьте все пришедшие к вам письма, включая непрочитанные, сотрите всё свои файлы с компьютера и разошлите это письмо всем своим знакомым".

сначала пишет тело, потом под каким нибудь хитрым предлогом будит писать то, что втюхает его пользователю и вот тут уже придется изворачиваться, где его и будет рюхать какой нибудь антивирусник, когда пишет тело, то просто делится опытом на форуме ну соответственно получает советы от остальных, но увы наш "доблестный" Rui спалил контору и сделал фигово как прогерам так и антивирусникам) одному пришлось сваливать с насиженного места и шифроваться (уходить в подполье tor), а вторым тупо добавлять в базу ключевые переменные и методы по которым эту прогу можно распознать и всего то.

. и кхм именно прогу, так как вирусом то и это пока сложно назвать, вы же не называете клиента TeamW вирусом? user все запустил цивильно с своего согласия, да мало ли чего он сам хочет запустить на своем собственном компьютере и что теперь с этим делать антивирусу? они просто чтобы на них лишний раз ушат грязи не выливали не стали оправдываться и тупо добавили в базу его поиск по ключевым методам и переменным.

Да и вообще, где черт тебя побери сам вирус? и код? Блин неплохая штука ведь написана, почему не дали ссылки для скачать?) даа да конечно ознакомиться) а то соберешься писать и вечно есть время только на одно либо поизобретать методы обхода автозапуска либо доделывать все красиво в gui управлении)