Сотрудники Карпатского управления киберполиции совместно с коллегами разоблачили факт распространения и использования вредоносных программ, предназначенных для удалённого доступа и управления компьютером жертвы. Вредоносное ПО распространял 42-летний житель Львовской области.
Сообщается, что злоумышленник на собственном компьютере установил программный центр управления троянской программой и модифицировал его. В дальнейшем, злоумышленник распространял клиентские версии вируса. По предварительной информации, злоумышленник инфицировал вредоносным ПО почти 2 тыс. устройств в более чем 50 странах мира.
Специалисты по вопросам киберполиции провели анализ вредоносного программного обеспечения. Установлено, что вирус предоставляет полный удалённый доступ к подконтрольным компьютерам. В частности, он даёт возможность загружать и выгружать файлы, управлять автозагрузкой и службами, удалённо управлять реестром, устанавливать и удалять программы, делать скриншоты с удаленного экрана, перехватывать звук с микрофона и видео со встроенных или внешних камер. Кроме того, вирус DarkComet имеет кейлоггер (мониторинг нажатых клавиш), монитор буфера обмена, целый набор утилит для работы с сетью, а также предоставлял возможность злоумышленнику удаленно выключать и перезагружать пораженный компьютер. Программа использует бэк-коннект, то есть сама инициирует соединение с управляющей машиной.
Полиция провела обыск по месту жительства злоумышленника. Во время обыска были изъяты ноутбук, зараженный вредоносным программным обеспечением, и стационарный компьютер. Во время предварительного осмотра техники, на компьютере хакера специалисты из киберполиции выявили административную панель доступа к зараженным компьютерам, установочные файлы, снимки экрана из подконтрольных компьютеров. Изъятую технику направлено на проведение компьютерно-технической экспертизы.
По данному факту следователи полиции начали уголовное производство по ч. 2 ст. 361 (Несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи) и ч. 1 ст. 361-1 (Создание с целью использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт) УК Украины.
Работники киберполиции сейчас устанавливают, каким образом происходило инфицирование компьютеров. Также предоставляются рекомендации, как проверить устройство на наличие вредоносных программ. Для этого необходимо:
- Открыть командную строку: зажать клавишу «Windows» на клавиатуре, затем клавишу «R». Запустится окно «выполнить», в котором нужно набрать команду «cmd» (без кавычек) и нажать клавишу «ENTER» или кнопку «ОК».
- Далее, в открытой командной строке нужно ввести команду «netstat -nao» и нажать клавишу «ENTER». После этого будет показан список соединений, среди которых нужно найти соединение с хостом 193.53.83.233 и портом 1604 или 81.
- При нахождении соединения с указанным IP-адресом рекомендуется связаться с киберполицией через форму обратной связи на сайте.
Источник: Национальная полиция
