Bifrost (троянский конь) - Bifrost (Trojan horse)

Эта статья включает Список ссылок, связанное чтение или внешняя ссылка, но его источники остаются неясными, потому что в нем отсутствует встроенные цитаты. Пожалуйста, помогите улучшать эта статья введение более точные цитаты. (Апрель 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения)

Bifrost это задняя дверь троянский конь семейство из более чем 10 вариантов, которые могут заразить Windows 95 через Windows 10 (хотя в современных системах Windows, после Windows XP, его функциональность ограничена). Bifrost использует типичную конфигурацию программы сервера, построителя сервера и клиентского бэкдора, чтобы позволить удаленному злоумышленнику, использующему клиента, выполнить произвольный код на скомпрометированной машине (на которой работает сервер, поведение которого может контролироваться редактором сервера).

Серверный компонент (размером 20–50 килобайты, в зависимости от варианта) сбрасывается до C: Program FilesBifrostserver.exe с настройками по умолчанию и во время работы подключается к заранее заданному айпи адрес на TCP порт 81, ожидая команд от удаленного пользователя, который использует клиентский компонент. Однако можно изменить как каталог установки, так и порт TCP.

TCP-соединение зашифровано паролем (по умолчанию: «pass»), но его также можно изменить.

Можно предположить, что после того, как все три компонента заработают, удаленный пользователь может по своему желанию выполнять произвольный код на скомпрометированной машине. Компоненты сервера также можно удалить в C: Windows, а атрибуты файлов изменить на «Только чтение» и «Скрытый». Обычные пользователи могут не видеть каталоги по умолчанию из-за "скрытых" атрибутов, установленных для каталога. Некоторые антивирусные программы (например, AVG - 17 февраля 2010 г.), похоже, полностью пропускают файл.

Компонент построителя серверов имеет следующие возможности:

• Создайте серверный компонент
• Измените серверный компонент порт номер и / или айпи адрес
• Изменить имя исполняемого файла серверного компонента
• Измените название Реестр Windows запись запуска
• Включают руткит скрыть серверные процессы
• Включите расширения для добавления функций (добавляет 22 759 байтов на сервер)
• Использовать упорство (затрудняет удаление сервера из зараженной системы)

Клиентский компонент имеет следующие возможности:

• Диспетчер процессов (просмотр или завершение запущенных процессов)
• Файловый менеджер (Просмотр, загрузка, загрузка или удаление файлов)
• Оконный менеджер (Просмотрите, закройте, разверните / сверните или переименуйте окна)
• Получить системную информацию
• Извлечь пароли с машины
• Регистрация нажатия клавиш
• Скриншот
• Захват веб-камеры
• Выход из системы, перезагрузка или выключение рабочего стола
• Редактор реестра
• Удаленная оболочка

28 декабря 2005 г. Эксплойт Windows WMF использовался для установки на машины новых вариантов Bifrost. Немного обходные пути и неофициальные патчи были опубликованы до Microsoft объявил и выпустил официальный патч 5 января 2006 года. Эксплойт WMF следует считать чрезвычайно опасным.

В более старых вариантах Bifrost использовались другие порты, например 1971, 1999; имел другую полезную нагрузку, например C: Winntsystem32system.exe; и / или написал разные Реестр Windows ключи.

Bifrost был разработан в то время, когда Windows ОАК (введено с Виндоус виста ) еще не был представлен. По этой причине Bifrost не может установить себя в современных системах Windows, если он не запущен с правами администратора.

Смотрите также

• Уязвимость метафайла Windows

внешняя ссылка

• BackDoor-CEP, McAfee, описывает поведение сервера варианта Bifrost, удаленного эксплойта WMF
• BackDoor-CEP.cfg от McAfee, описывает поведение редактора клиента и сервера для указанного варианта Bifrost.
• Бэкдор-CKA, McAfee
• Бэкдор., Symantec
• Backdoor.Bifrose.C, Symantec
• Troj / Bifrose-AJ, от Sophos