AZORult - Так называется широко известный в узких кругах коммерческий стилер, обладающий впечатляющим набором функциональных возможностей. Трой умеет красть сохраненные пароли, данные форм и кукисы из 33 различных браузеров, названия доброй половины которых я впервые увидел в рекламном описании этого самого стилера. В админке трояна имеется специальный конвертер, позволяющий просматривать содержимое файлов cookies в формате JSON.
Админка AZORult -
AZORult может вытаскивать пароли из почтовых клиентов Outlook и Thunderbird, FTP-клиентов FileZilla и WinSCP, IM-клиентов Pidgin и Psi/Psi+. Из Skype он способен скопировать переписку, из Telegram — идентификаторы сессий, из клиента Steam — файлы ssfn и vdf. Список криптовалют, кошельки которых в состоянии украсть AZORult, весьма внушителен: он насчитывает 38 наименований
Среди возможностей стилера не только банальности вроде создания скриншотов — он еще знает, как искать на зараженной машине файлы по имени, размеру или маске с рекурсивным обходом вложенных директорий, в состоянии собирать информацию о программном окружении и аппаратной конфигурации (включая геолокацию, список установленных приложений и работающих процессов), а также скачивать и запускать с управляющего сервера заданный файл. Трой имеет функцию автоматического самоудаления после отправки отчета, если она включена в админке, и способен работать с серверами, если они используют .bit-домен. Исполняемый файл в несжатом виде занимает порядка 110 Кбайт, а под упаковщиком легко сокращается до 40. Такой вот комбайн по цене 100 долларов.
Методы обнаружения -
Под капотом у AZORult можно обнаружить много интересного. Имя управляющего сервера хранится в теле стилера в зашифрованном виде, для шифрования используется Base64 с произвольным словарем и RC4, ключ которого автор также захардкодил. Для соединения с сервером AZORult использует сокеты, при этом отправляемые на сервак данные и получаемые ответы поксорены. Архитектурно стилер состоит из нескольких функциональных модулей, которые включаются согласно полученному из админки конфигу.
Поскольку на просторах интернета широко распространены билдеры для AZORult, да и перепаковывают его с завидной регулярностью, антивирусы палят далеко не все его образцы. Однако у трояна есть один характерный признак: скачанные и необходимые для работы библиотеки он хранит в папке %appdata%\1Mo\, факт создания которой можно считать одним из верных признаков заражения.
Ссылка на скачивание:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Virus Total:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
P.S Позже будет гайд, как поставить панель на VDS сервер
