Создание новых вредоносов на базе RAT-трояна Njw0rm


Trend MicroСпециалисты из Trend Micro выяснили, что для создания новых вредоносов, способных предоставить взломщику полный доступ к ПК жертвы, разработчики решили использовать исходный код RAT-трояна Njw0rm.

Напомним, что Njw0rm - это модифицированная версия RAT-трояна njRAT. Именно эти две версии в июле 2014 года специалисты Microsoft пытались обезвредить. И еще тогда они сказали, что можно свободно создавать собственные версии данного вредоносного ПО, поскольку необходимая информация и исходный код трояна находились в открытом доступе.

Кстати, по данным Trend Micro, исходный код Njw0rm был опубликован на хакерских форумах в мае 2013 года. И вскоре после этого киберпреступники начали создавать новые версии вредоносного ПО.

Так, одними из новых троянов, которые были созданы на основе Njw0rm, стали Kjw0rm и Sir Do0om. Два этих вредоноса были обнаружены специалистами Trend Micro в январе и декабре 2014 года соответственно. Обнаруженные зловреды оснащены улучшенной панелью управления и способны собирать больше информации. Так, например, Kjw0rm способен обнаруживать установленные антивирусы и определять версию установленного пакета .NET Framework, Sir Do0om - может передавать злоумышленнику информацию о характеристиках ПК жертвы, установленном антивирусном ПО и межсетевых экранах.

Если говорить о Njw0rm, то он может:

  • выполнять произвольные команды;
  • запускать файлы;
  • похищать логины и пароли;
  • осуществлять свое автоматическое обновление.


Улучшенная версия Kjw0rm к тому же способна выключать или перезагружать компьютер, загружать и открывать произвольные файлы. А еще более интересным выглядит Sir Do0om. Данная троянская программа может:

  • майнить биткоины;
  • запускать DDoS-атаки;
  • контролировать ПК по таймеру;
  • завершать процессы антивирусных программ;
  • открывать web-сайт, на котором отображается текст Корана.


Все выше перечисленные трояны могут распространяться через переносные устройства. Они скрывают папки на флешках и создают ярлыки с их именами, которые на самом деле открывают вредонос.


Обновлено (28.01.2015 06:50)