Троян ComRAT позволяет удаленно управлять зараженными устройствами


ComRAT (G Data) - новая троянская программа, которая позволяет хакеру получать удаленный доступ к зараженному устройству.

Предположительно вирус разработан авторами Snake, а сам он является наследником известного вируса Agent.BTZ. Стоит напомнить, что при помощи вируса Agent.BTZ в 2008 году были взломаны компьютеры Минобороны США.

Возвращаясь к вирусу ComRAT - экспертами были обнаружены две его версии:

  • 3.25 - в ней используется такой же ключ кодировки и имя лог-файла установки, как и в Agent.BTZ и Snake.
  • 3.26 - в этой версии была попытка скрыть связь между ComRAT и Agent.BTZ, а также увеличили сложность анализа угрозы.


Кроме использования одинакового ключа кодировки и одинакового имени лог-файлов установки, существуют и другие связи между Snake, ComRAT и Agent.BTZ. Например, то, что вредоносы используют одинаковые C&C-сервера, а фрагменты кода ComRAT напрямую скопированы из Snake и Agent.BTZ.

Наиболее значительным отличием между ComRAT и Agent.BTZ является их дизайн. При этом ComRAT гораздо более опасен, чем Agent.BTZ. Вредонос загружается в каждый процесс на инфицированной машине, но его пэйлоад исполняется исключительно в рамках процесса explorer.exe. C&C-трафик, встраивается в браузерный трафик, что в свою очередь значительно осложняет обнаружение вируса.