Рмс вирус что это

Обновлено: 28.03.2024

Респираторно-синцитиальная вирусная инфекция (РСВИ) занимает важное место в патологии органов дыхания, как у детей, так и у взрослых. Респираторно-синцитиальный вирус (РСВ) - наиболее частая причина поражения Нижних дыхательных путей (НДП) у детей раннего возраста, причем заболевание может привести к летальному исходу. У детей старшего возраста и взрослых РСВ вызывает более легкое поражение респираторного тракта, проявляющееся ринофарингитом, бронхитом, включая обострение хронического бронхита, пневмонией.

Этиология и эпидемиология

РСВ входит в состав семейства Paramyxoviridae, являясь представителем рода Pneumovirus. Свое название вирус получил в результате характерного цитопатического действия в культуре клеток, ведущего к образованию синцития и симпластов. РСВ не содержит гемагглютинина и нейраминидазы.

РСВИ является, по существу, эндемичной, и в отдельные периоды происходит подъем заболеваемости. Вспышки наблюдаются в различное время года, чаще осенью и зимой. Подъем заболеваемости РСВИ нередко совпадает с эпидемией гриппа, и тогда у детей можно диагностировать микст-инфекцию. Как и грипп, РСВИ увеличивает количество осложнений и летальность от гриппа и пневмонии.

Продолжительность эпидемического подъема заболеваемости ограничивается 3-5 месяцами. Такие вспышки, как правило, имеют место ежегодно в одной и той же местности. В это время РСВ вызывает не только бронхиолиты и пневмонии, но также и легкие заболевания верхних дыхательных путей (ВДП) у детей. Вспышки РСВИ могут протекать в виде ограниченных локальных эпидемий в учреждениях для детей раннего возраста.

Источником инфекции являются больные и вирусоносители. Вирусы выделяются вместе с секретом слизистой оболочки ВДП во время разговора, кашля, чихания, и передача возбудителя здоровым осуществляется воздушно-капельным путем. Опасность заражения от больного человека сохраняется в течение 5-7 дней. Восприимчивость к РСВ очень высока, особенно у детей раннего возраста.

О распространении РСВИ среди различных возрастных групп населения позволяют судить серологические исследования. У большинства новорожденных имеются антитела, полученные от матери. Однако врожденный пассивный иммунитет довольно быстро утрачивается, и уже у детей 4-6-месячного возраста антитела не удается обнаружить. В этот период дети становятся высоко восприимчивыми к РСВ, заболеваемость возрастает, в результате чего увеличивается число детей, которые приобрели антитела, а вместе с ними и иммунитет. У детей в возрасте 5-10 лет антитела к РСВ обнаруживаются у 63-68% обследованных. Примерно такой же результат был получен и при обследовании здоровых взрослых (67%). Заболевания, вызванные РСВ, наблюдаются и среди взрослых различного возраста, при этом у большинства из них имеет место реинфекция, так как болезнь возникает несмотря на наличие нейтрализующих и комплементсвязывающих антител.

Клиника и патогенез

Инкубационный период длится не менее 3 дней, чаще 4-5 дней. Начинается заболевание как остро, так и подостро. У детей грудного возраста чаще наблюдается вовлечение в процесс НДП, в то время как у старших детей и у взрослых изменения обычно ограничиваются областью ВДП и протекают в виде ринита, фарингита, ларингита. Ринит отмечается у большинства пациентов, выделения из носа необильные серозно-слизистые. В ротоглотке может наблюдаться умеренная гиперемия слизистой. Наиболее частый симптом РСВИ - кашель, вначале непродуктивный, затем на 3-4 день болезни появляется мокрота.

Через 2-3 дня от начала болезни, а иногда и в более поздние сроки, обнаруживаются признаки поражения НДП с развитием бронхита, бронхиолита или бронхо-бронхиолита, обусловливающие возникновение БОС. Появляется одышка с втяжением уступчивых мест грудной клетки, обычно экспираторного типа. Дыхание шумное, свистящее.

При бронхите у большинства пациентов на фоне жесткого дыхания выслушивается большее или меньшее количество сухих свистящих хрипов, у части больных - средне- и крупнопузырчатые влажные хрипы. Выдох удлинен. Для бронхиолита характерно обилие мелкопузырчатых влажных и крепитирующих хрипов, выслушиваемых по всей поверхности обоих легких, обычно в конце вдоха. Из-за вздутия легких при перкуссии грудной клетки определяется коробочный звук.

Одним из важных признаков, характеризующих БОС, является цианоз. У детей первых месяцев жизни с бронхиолитом отмечается общий цианоз, дети становятся чугунного цвета. Поражение органов дыхания происходит на фоне лихорадки, которая в отдельных случаях может и отсутствовать.

При рентгенологическом обследовании наиболее характерным признаком РСВИ является повышение прозрачности легочных полей, расширение межреберных промежутков, усиление легочного рисунка за счет расширения крупных сосудистых стволов и обогащения его мелкими линейными тенями. Наблюдается перестройка всего легочного рисунка по сетчато-трабекулярному типу.

В крови в первые дни болезни может обнаруживаться лейкоцитоз за счет гранулоцитов, однако чаще имеет место нормоцитоз или, реже, лейкопения. СОЭ обычно повышена.

Общая продолжительность РСВИ составляет от 5-7 дней до 3-х недель.

У новорожденных и детей второго месяца жизни, особенно недоношенных, при РСВИ могут возникать приступы апноэ. Такие приступы, хотя часто повторяются во время острой инфекции, обычно купируются самостоятельно и, как правило, не сопровождаются неврологическими или системными повреждениями, но требуют наблюдения.

У детей старшего возраста и взрослых РСВИ обычно протекает в стертой форме или проявляется только как афебрильное заболевание ВДП, но может иметь и клиническую симптоматику гриппа. Полагают, что РСВ служит причиной 15% обострений хронического бронхита.

Особого внимания заслуживают тяжелые формы РСВИ у детей раннего возраста, проявляющиеся бронхиолитом или бронхо-бронхиолитом с бронхообструктивным синдромом (БОС), требующие неотложной помощи и могущие привести к летальному исходу. Половина больных этой группы приходится на детей первых 3 месяцев жизни, начиная с раннего неонатального периода. Бронхиолиты в изолированном виде обычно наблюдаются у детей первых месяцев жизни, однако в большинстве случаев, наряду с бронхиолитом, имеются клинические признаки поражения и крупных бронхов. Клинически эту группу больных характеризует выраженная дыхательная недостаточность, определяющая тяжесть болезни, в то время как явления интоксикации выражены слабо или в умеренной степени.

Клиническая диагностика РСВИ представляет определенные трудности ввиду сходства с другими респираторными заболеваниями. И все же некоторые клинические особенности отличают РСВИ от других ОРВИ. Для РСВИ в типичных случаях характерно поражение НДП с развитием бронхита или бронхиолита и возникновением БОС. Дифференциальная диагностика у детей первого полугодия жизни должна включать все другие причины острых заболеваний НДП - вирусы парагриппа, особенно 3 типа, аденовирусы, вирусы гриппа, риновирусы, а также Chlamydia trachomatis. Последняя вызывает интерстициальную пневмонию с кашлем, и, в некоторых случаях, затрудненное дыхание, хотя лихорадка обычно отсутствует. У детей с иммунодефицитом должна быть принята во внимание возможность инфекции Pneumocystis carinii. При бактериальной пневмонии шумного выдоха обычно не бывает, а симптомы общей интоксикации более выражены.

Для диагностики РСВИ имеют значение и эпидемиологические данные. Если это семейный очаг, то взрослые и дети старшего возраста переносят обычное, легкое респираторное заболевание, в то время как у детей раннего возраста наблюдается тяжелое течение, и у них часто возникает бронхит или бронхиолит.

Таким образом, имеющихся клинико-эпидемиологических данных нередко бывает достаточно для предположительного диагноза. Для окончательной верификации диагноза РСВИ используются различные лабораторные методы диагностики.

В практической работе в настоящее время наиболее широко используют экспресс-методы, направленные на определение антигена РСВ в материалах от больных. Антиген РСВ можно обнаружить методом иммунофлюоресценции либо ИФА. Оба метода достаточно специфичны и чувствительны и, по существу, имеют равновеликую ценность. Ответ получают через несколько часов.

Образцы для исследования лучше забирать при аспирации, устанавливая катетер над входом в гортань. Материал можно также получить из полости носа, используя сухой ватный тампон на металлическом стержне, реже пользуются носоглоточными смывами. Взятие материала из НДП для рутинного диагноза не является необходимым, хотя это может повысить результативность диагностики.

У умерших детей исследуют ткань легких, трахеи и бронхов на антиген РСВ или они используются для выделения вируса.

Специфический антиген выявляют методом иммунофлуоресценции в цитоплазме эпителиальных клеток носа с первых дней болезни и в последующие 10 дней. Однако при тяжелых формах болезни мы обнаруживали антиген РСВ до 29-49 дней от начала болезни.

При легких формах РСВИ, которые широко распространены, применяются симптоматические средства, и они не требуют каких-либо специфических мер.

При тяжелых формах заболевания, сопровождающихся БОС, необходима госпитализация детей. Лечение тяжелых форм РСВИ с поражением НДП носит неотложный характер. Первоочередными являются следующие мероприятия:

Несомненно, что главной задачей терапии является обеспечение адекватной оксигенации крови, что достигается как прямой ингаляцией кислорода, так и воздействием на различные механизмы БОС. Уже такое простое мероприятие, как своевременное удаление с помощью электроотсоса слизи, накапливающейся в ВДП, может привести к улучшению дыхательной функции.

При БОС показано применение средств, уменьшающих отек слизистой дыхательных путей, гиперсекрецию и бронхоспазм. Применяются бронходилятаторы и муколитики.

В связи с возникновением тяжелых, иногда критических состояний при БОС в качестве неотложной терапии показано применение глюкокортикоидов, которые применяют в сочетании с бронхолитиками. Преднизолон или гидрокортизона гемисукцинат вводят внутривенно, а затем переходят на пероральный прием. Преднизолон назначается из расчета 2-3 мг/кг, а гидрокортизона гемисукцинат 5-6 мг/кг в сутки.

Патогенетически обосновано применение диуретиков быстрого действия (фуросемид) в лечении обструктивного синдрома, если он обусловлен бронхиолитом. Фуросемид вводится в разовой дозе 1 мг/кг внутривенно или внутримышечно. Повторное введение фуросемида следует проводить с осторожностью, и чаще всего в его повторном введении в ближайшие 24 часа нет необходимости. Бикарбонат натрия для коррекции декомпенсированного ацидоза у детей с БОС не применяется.

Оптимальным вариантом поддержания функционального состояния слизистой дыхательных путей является пребывание ребенка в условиях кислородного аэрозоля (тумана) и применение медикаментозных аэрозольных ингаляций. Получение тумана достигается с помощью производителя аэрозолей эжекционного типа. Аэрозоль направляют под тент-палатку ДКП-1 или под колпак кювеза (для детей первых месяцев жизни). В камере создается кислородный аэрозольный туман с 50-60% содержанием кислорода и высокой влажностью (100%). С помощью производителя аэрозолей распыляют обычную воду, 2% раствор бикарбоната натрия, физиологический раствор, которые оказывают муколитическое действие и способствуют отхождению мокроты и снижению потери жидкости.

Постоянная ингаляционная терапия позволяет достичь, прежде всего, удовлетворительной оксигенации крови. При этом улучшаются и другие показатели газового состава крови и кислотно-щелочного состояния, особенно уменьшается метаболический компонент ацидоза.

С целью поддержания гомеостаза почти всем детям проводится инфузионная терапия, тем более, что полноценное энтеральное кормление часто не может быть обеспечено из-за тяжести состояния, однако она осуществляется в небольших объемах (20-25 мл/кг массы) и кратковременно. Обычно вводится 10% раствор глюкозы с электролитами.

В терапии БОС, особенно при выраженном бронхо-спазме, могут быть использованы бронходилятаторы короткого действия из группы b2-агонистов. Например, сальбутамол (0,2 мг/кг в день) при бронхиолите у детей в возрасте 1-9 месяцев.

Из средств этиотропной терапии для лечения РСВИ у детей раннего возраста в настоящее время в мире препаратом выбора является рибавирин, который является синтетическим нуклеозидом и принадлежит к противовирусным препаратам широкого спектра действия. Условием назначения рибавирина является лабораторно подтвержденный диагноз и ранние сроки заболевания. Показаниями для ингаляций рибавирина являются тяжелые формы РСВИ у детей раннего возраста и больные с врожденными пороками сердца. Применяется в виде длительных ингаляций аэрозолей в дозе 10 мг/кг в сутки. Длительность курса лечения 3-5 дней.

Применение рибавирина приводит к уменьшению тяжести клинической картины заболевания, сокращению длительности БОС, быстрой элиминации возбудителя, ускорению выздоровления.

При применении рибавирина следует самым строгим образом учитывать предупреждения о возможных токсических проявлениях.

Создание вакцин против РСВИ имеет долгую и поучительную историю. Более чем за 30 лет были получены инактивированные, живые аттенуированные и субъединичные РСВ-вакцины. Однако все они оказались неэффективными. Более того, после применения инактивированной вакцины естественное заражение РСВ приводило к более тяжелому течению заболевания. Тем не менее, усилия по созданию новых вакцин против РСВИ не ослабевают, и есть надежда, что эффективная вакцина будет разработана.

1. Медицинская микробиология (под ред. В.И. Покровского и О.К. Поздеева). М.: Гэотар Медицина,1998.

2. Simoes E.A. Respiratory syncytial virus infection. Lancet 1999; 354: 847-52.

4. Rodriguez W.J. Management strategies for respiratory syncytial virus infections in infants. J Pediatr 1999; 135: 45-50.

5. Ottolini M.G., Hemming V.G. Prevention and treatment recommendations for respiratory syncytial virus infection. Background and clinical experience 40 years after discovery. Drugs 1997; 54: 867-84.

6. Hussell T.; Openshaw P. Recent developments in the biology of respiratory syncytial virus: are vaccines and new treatments just round the corner? Curr Opin Microbiol 1999; 4: 410-4.


Сценарий атаки

Обнаруженные нами образцы можно разделить на 2 группы.

Пример письма с вредоносным вложением, использующим DLL Hijacking:


В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем.


В архиве находится дроппер в виде самораспаковывающегося RAR’а, внутри которого лежит сам BackDoor.RMS.180.

Ниже приведен пример письма с вложением, использующим MSI-пакет.


Помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем здесь находятся документы-пустышки.


В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, который запускает установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). Здесь задействован несколько иной механизм распространения полезной нагрузки.


Анализ сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, позволил найти еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, Trojan.GidraNET.1 использовался для первичного заражения системы при помощи фишингового письма с последующей загрузкой бэкдора, который скрыто устанавливал Remote Utilties.

Подробный разбор алгоритмов работы обнаруженного ПО читайте в вирусной библиотеке на нашем сайте. Ниже мы кратко рассмотрим эти вредоносные программы.

BackDoor.RMS.180

Троян-бэкдор, написанный с использованием компонентов программы Remote Utilities. Основной вредоносный модуль загружается посредством DLL Hijacking.

Самораспаковывающийся архив запускается скриптом:


Состав самораспаковывающегося дроппера:

  • libeay32.dll (f54a31a9211f4a7506fdecb5121e79e7cdc1022e), чистый;
  • ssleay32.dll (18ee67c1a9e7b9b82e69040f81b61db9155151ab), чистый;
  • UniPrint.exe (71262de7339ca2c50477f76fcb208f476711c802), подписан действительной подписью;
  • WinPrint.exe (3c8d1dd39b7814fdc0792721050f953290be96f8), подписан действительной подписью;
  • winspool.drv (c3e619d796349f2f1efada17c9717cf42d4b77e2) — основной вредоносный модуль, обеспечивающий скрытую работу Remote Utilities.


Функции, отсутствующие в оригинальном модуле winspool.drv и не несущие функциональной нагрузки:


Экспорты с реальными именами содержат переходы к загружаемым в дальнейшем оригинальным функциям из легитимной библиотеки.


Некоторые API-функции выполняются через указатели на функции-переходники:




Функция get_proc ищет необходимую API-функцию разбором таблицы экспорта модуля, затем помещает найденный адрес вместо функции-переходника.
На первом этапе загружает подмененную библиотеку. Имя не зашито жестко, поэтому загружает библиотеку \ . Затем проходит свою таблицу экспорта и загружает оригинальные API-функции по ординалам, пропуская недействительные функции:



  • значение равно 0x2ECF3 — первичный запуск с WinPrint.exe;
  • значение равно 0xC9FBD1 — работа в контексте UniPrint.exe.

Когда запущен UniPrint.exe, бэкдор переходит к выполнению основных функций. Проверяет, имеет ли пользователь права доступа администратора. Затем устанавливает права доступа на директорию с модулем:


После этого записывает параметры General и Security в ключ реестра HKCU\SOFTWARE\WDMPrint и подготавливает значение параметра InternetID с помощью форматной строки.

Затем бэкдор создает скрытые окна MDICLIENT и RMSHDNLT:


Далее приступает к перехвату API-функций. Для этого использует библиотеку MinHook.


Подробная таблица с описанием перехватываемых функций находится на странице BackDoor.RMS.180 на нашем сайте.

Сетевая активность бэкдора реализована следующим образом. Вначале по дескриптору окна TEdit с помощью функции GetWindowTextA бэкдор получает InternetID, необходимый для удаленного подключения. Затем формирует GET-запрос вида:


Затем создает TCP-сокет. Проверяет значение глобальной переменной, в которой хранится порт для подключения с использованием протокола SSL (в рассматриваемом образце равен нулю). Если порт не равен нулю, то соединение выполняется по SSL посредством функций библиотеки SSLEAY32.dll. Если порт не задан, бэкдор подключается через порт 80.
Далее отправляет сформированный запрос. Если ответ получен, то ожидает в течение минуты и повторно отправляет запрос с InternetID. Если ответа нет, то повторяет запрос через 2 секунды. Отправка происходит в бесконечном цикле.

BackDoor.RMS.181

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами удаленного управления, созданный с помощью MSI-конфигуратора из состава Remote Utilities Viewer. Распространялся в составе самораспаковывающегося 7z-дроппера (52c3841141d0fe291d8ae336012efe5766ec5616).

  • host6.3_mod.msi (заранее настроенный MSI-пакет);
  • installer.exe (5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf), подписан действительной цифровой подписью.


После распаковки дроппер запускает файл installer.exe, который, в свою очередь, запускает установку заранее настроенного MSI-пакета. Установщик извлекает и скрыто устанавливает Remote Utilities. После установки отправляет сигнал на управляющий сервер.


MSI-пакет содержит все необходимые параметры для тихой установки Remote Utilities. Установка выполняется в Program Files\Remote Utilities — Host в соответствии с таблицей Directory.


В соответствии с таблицей CustomAction установщик msiexec.exe запускает основной компонент пакета Remote Utilities rutserv.exe с различными параметрами, которые обеспечивают тихую установку, добавление правил сетевого экрана и запуск службы.


Параметры и настройки подключения заносятся в ключ реестра HKLM\Remote Utilities\v4\Server\Parameters. Значения параметров содержатся в таблице Registry:


Параметр CallbackSettings содержит адрес сервера, на который отправляется InternetID для прямого подключения.

BackDoor.RMS.187

Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами для скрытой установки и запуска Remote Utilities. Распространялся в составе вредоносного RAR-архива посредством фишинговой рассылки.

Запускается при помощи дроппера, который хранит установочный архив в секции ресурсов под именем LOG. Дроппер сохраняет MSI-пакет в директорию %TEMP% под именем KB8438172.msi и затем запускает с помощью установщика msiexec.exe. В дроппере находится путь к исходнику — C:\Users\Kelevra\Desktop\Source\Project1.vbp.


Этот образец примечателен способом распространения. На электронную почту жертвы приходит фишинговое письмо со ссылкой, маскирующейся под нужное пользователю вложение.

ateliemilano[.]ru и kiat[.]by — существующие сайты, при этом второй сайт принадлежит кадровому агентству. По нашим сведениям, они неоднократно использовались для загрузки троянов, а также для переадресации запросов на их загрузку.

Trojan.GidraNET.1

Исследованный образец трояна распространялся через скомпрометированные сайты. Он предназначен для сбора информации о системе с ее последующей передачей злоумышленникам по протоколу FTP, а также для загрузки вредоносного дроппера с MSI-пакетом для установки Remote Utilities.

Основная функциональность находится в методе readConfig, вызываемом из Form1_Load.


В начале своей работы собирает о системе следующую информацию:

  • внешний IP-адрес;
  • имя пользователя;
  • имя ПК;
  • версия ОС;
  • сведения о материнской плате и процессоре;
  • объем оперативной памяти;
  • сведения о дисках и разделах;
  • сетевые адаптеры и их MAC-адреса;
  • содержимое буфера обмена.

Полученную информацию сохраняет в файл, затем делает снимок экрана.


Информацию о системе отправляет по протоколу FTP на сервер ateliemilano[.]ru.


В коде трояна зашиты логин и пароль от FTP-сервера. Для каждого зараженного компьютера создается отдельная директория.


После отправки информации загружает и запускает файл с другого скомпрометированного сервера.


Файлы, скачиваемые аналогичными образцами, представляют собой дропперы, написанные на Visual Basic, содержащие MSI-пакеты для скрытой установки Remote Utilities, такие как BackDoor.RMS.187.

В исследованном образце был найден путь к PDB-файлу: C:\Users\Kelevra\Desktop\Last Gidra + PrintScreen + Loader_ Main\Gidra\obj\Debug\Gidra.pdb. Имя пользователя Kelevra совпадает с именем пользователя в пути к файлу проекта в дроппере BackDoor.RMS.187: C:\Users\Kelevra\Desktop\Source\Project1.vbp. В аналогичных образцах встретились и другие варианты.

По найденной нами информации можно предположить, что в 2019 году автор Trojan.GidraNET.1 использовал этот троян для первичного заражения через фишинговое письмо с последующей загрузкой бэкдора, скрыто устанавливающего Remote Utilties.

Заключение

Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.


Причин этому несколько, но перейти к их перечислению достаточно сложно — что-бы не восприняли как рекламу, просто перечислим основные функции:

1. Возможность скрытой установки и работы;
2. Связь через сервер, а не к IP напрямую;
3. Возможность управления большим парком компьютеров;
4. ПО легально, имеет ЭЦП;
5. Файлы самой программы детектируются небольшим количеством антивирусов — ничего даже криптовать не нужно (5-20 в зависимости от версии);
6. Простота использования на уровне средних классов школы.

Если кратко, то технологическая суть работы такова:


В сознании некоторых интеллектуалов настолько прочно закрепилось, что RMS это хакерская утилита, что они даже… в общем смотрите сами:


Но есть еще и третья сторона баррикад, которую обычно никто не замечает и вообще не считает стороной, ведь у стены вообще две стороны, как принято считать, но тут не все так просто, есть еще антивирусы, которые держат круговую оборону: нужно защищать пользователей от злобных хакеров, нужно общаться с менеджерами/юристами из TektonIT и отмахиваться от админов, вопрошающих про неудобства, дескать наша контора платит за антивирус не для того, чтобы он легальное ПО сносил под корень.

На текущий момент антивирусная наука дошла до следующих высот:

Вот как обстоят дела с билдером с NSIS:


В этом билдере даже вводить ничего не нужно — на почту отсылки нет, ID+pass генерируются на этапе сборки и сохраняются в файл. Данная поделка для уменьшения количества сигнатурных детектов использует достаточно популярный способ — создание архива под паролем: все файлы RMS находятся в запароленном архиве, а при установке в параметрах командной строки архиватору (он на борту) дается пароль к архиву. Такой финт позволяет обойти проверку файла на диске (обычно антивирусы не брутят пароли), но (при наличии детекта) при установке файлы будут распакованы и обнаружены антивирусным монитором (если он включен, конечно).

В некоторых случаях билдер служит только для записи в текстовый ini-файл с настройками, а вся работа по патчингу/конфигурированию самого билда сделана уже автором.

Вот пример такого билдера:


Иногда могут использоваться костыли в виде скриптов, мониторящих появление окон от RMS для их моментального сокрытия и даже в виде библиотеки dll, которая поставит в процессе нужные хуки и будет менять логику работы процесса в сфере отображения окон. Эти двухстрочные скрипты практически не детектируются, а библиотека обнаруживается более, чем 30 антивирусами, чем сильно подвергает риску всю операцию, потому она применяется крайне редко.


Подобные атаки используются не только для добычи уже привычного профита (пароли, деньги), но и для продажи людям с избытком каких-то гормонов — доступы к компьютерам девушек, которые часто находятся перед компьютером в раздетом виде.

Описываемая рассылка эксплоита была произведена в января 2014 года. При открытии документа производилась закачка и запуск файла, который из себя представлял 7z-sfx архив, распаковывающий архив паролем COyNldyU, передав его командной строкой (у ЛК мог быть другой билд данного зловреда, немного другой модификации, но они крайне близкие родственники — все поведение и имена совпадают практически полностью). После чего запускался bat-файл, извлеченный из запароленного контейнера, который производил установку в систему файлов RMS (патченных). Данный батник интересен тем, что работал крайне корректно — предварительно пытался удалить самого себя из системы прибитием процессов и завершением/удалением служб, а также проверял права в системе, в случае недостатка которых мог устанавливаться в %APPDATA%\Microsoft\System, а настройки писать в HKCU\SOFTWARE\System\System\Install\Windows\User\Server\Parameters.
Также осуществлялся патчинг и апдейт виндового RDP (судя по всему, чтобы при удаленном подключении текущего юзера не выкидывало), путем запуска кучи консольных утилит в скрытом режиме.

В заключение мы бы хотели познакомить с ситуацией по детектам.

1. Детект файла rutserv.exe из разных версий RMS. Чтобы не помогать в этом деле хакерам (слишком наглядно будет видно какую версию какое количество и каких антивирусов обнаруживает) сделаем следующим образом: Если антивирус обнаруживает не менее 75% — ему плюс, менее половины — минус, оставшийся интервал даст ±;
2. Детект файла из под второго билдера (он всегда одинаков, а конфиг разный);
3. Детект bat-файлов для установки RMS в систему — взяли их из разных статей о самостоятельной сборке данного зловреда и несколько с форумов, где наоборот пытаются эту заразу реверснуть/избавиться и выкладывали файлы. Оформление результатов — аналогично первому пункту;
4. Bat-файл, описанный в статье от KasperskyLab.


Собственно, на изображении результаты видны, но мы попробуем дать им свою трактовку:

Эпилог

Не вывод, а именно эпилог. Мы не знаем какие из этого можно сделать выводы. Если бы это был диплом/автореферат, то, согласно правилам, мы бы тут порастекались по древу, а так… Из того, что мы наисследовали, постарались рассказать самое интересное и полезное, чтобы читатель не заснул — разбавили веселыми картинками и постарались не перегружать статью терминологией и узкопрофильными моментами (аля листинги асм-кода, скриншоты с подчеркиванием важных мест красным). Наши слова о слежке через камеру за не сильно одетыми лицами (и не только) слабого пола мы все-таки не решились иллюстрировать скриншотами. Надеемся, что статья от этого не стала менее содержательной и интересной.

Всем привет, подхватил вирус-майнер и удаленный доступ (RMS, rutserv.exe) 20.06.2020(17:03) ОС Windows 7 x64. При открытии ДЗ все становиться тихо, со временем сам диспетчер задач закрывается . Даже сам ProcessHacker закрывался через время и в левом нижнем углу ( там где датчик нагрузки на процессор) появляются маленькие окна, когда их закрываешь через ~3 минуты появляются снова. Было обнаружено во вкладке Network адреса codeload.github и набор букв напротив процессов блютуз, так же были задействованы процессы svchost.exe от моего имени (возможно тоже с этим связано). Удалил файлы (rutserv.exe rfuscluient) больше они не появлялись. Так же нашел пользователя в реестре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\John так же удалил. Файл hosts тоже почистил от каких-то айпи. После таких операций - ДЗ и ProcessHacher не закрывались, но в процесхакере все равно появляются маленькие окна, которые перекрывают нагрузку на ЦП. Хотел установить антивирус, но сначала не вышло, вирус блокировал установку, указывая на ошибку типо "неправильно указан путь". Даже пробовал запускать malwarebytes chameleon, который с тихой установкой, после перезагрузки вылетала ошибка. После этого лазил по папкам и наткнулся на скрытые папки в Programmdata с названиями популярных антивирусов (kaspersky, malwarebytes, avira, 360, adguard, grizzly больше не вспомню), которые были созданы в то же время, когда появился вирус, после их удаления - мог запустить загрузчик касперского и malwarebytes. Но толку от их установок - не было, потому что они ни чего не нашли. Старался по максимум находить папки с такой же датой 20.06.2020(17:03), находил батники и текстовые документы со своими почтами и паролями, скорее всего они уже слитые. некоторые блокировали доступ на просмотр,но я снимал запрет через свойства папок и удалял. Эти папки были пустыми; что же тогда от меня скрывать? я их просто удалил. Прошелся так же программой RogueKiller и он ругался на папку Mysql расположение было c:\windows\fonts\Mysql удалить он не смог и я полез искать ее; зайдя внутрь(с показом скрытых файлов и папок), я ничего не обнаружил только шрифты. Зашел в свойства и там было около 700 файлов и 1 папка. Чтобы удостовериться, что там действительно есть папка я открыл программу Everything и прописал название "Mysql". И да реально там была эта папка. Я попробовал ее удалить, но выскакивала ошибка "отсутствие доступа". Зашел в Безопасный режим и прописал rd /s /q "c:\windows\fonts\Mysql" и даже там мне был отказ в доступе. Потом прошелся Dr.web cureit (в безопасном режиме с использованием ком строки), он ничего не нашел. Я думаю, что в папке Mysql лежат файлы такие как puls.exe mance.exe eter.exe svchost.exe, так как читал на форуме похожую ситуацию.

Чувствуется падение производительности. Переустанавливать систему еще не пробовал, да и начитавшись, говорят, что вирус самовосстанавливается даже после форматирования.

Вирус taskhost.exe в папке C:\Windows\RealtekHD
В общем вирус блочит все упоминания антивирусов, закрывает диспетчер, видел на форуме такую же.

Подхватил вирус extsetup.exe,SOS
Здравствуйте, уже несколько дней пытаюсь побороть вирус который устанавливает незаметно на.

Вирус-майнер HostXmrig.exe
Добрый день. В папке C:\Windows\ создается папка HhSm, через некоторое время в папке C:\Windows\.

RMS Rat virus - это вредоносная программа, которая является частью троянских вирусов. Целью RMS Rat virus является кража данных пользователей. Распространение этого трояна часто происходит через спам по электронной почте и поддельные обновления.

Что такое RMS Rat virus?

RMS Rat virus захватывает веб-браузеры, где изменяет отображение информации. Введенные логины и пароли крадутся и отправляются на удаленный сервер мошенников. Похищая логины и пароли, киберпреступники могут быстро завладеть электронными счетами пользователей и перевести деньги на их кошельки.

Это вредоносное ПО должно быть уничтожено, так как RMS Rat virus может отлично маскироваться в системе ПК.

Название RMS Rat virus
Тип Trojan
Повреждения Severe

RMS Rat virus симптомы

RMS Rat virus может маскироваться под безопасный процесс и его трудно обнаружить. Однако система ПК начинает проявлять себя характерными общими симптомами, такими как:

Как RMS Rat virus попало на мой ПК?

RMS Rat virus распространяется через спам и поддельные обновления. Спам представляет собой различные вредоносные вложения (PDF-файлы, документы MS Office и многое другое). Переходя по таким вложениям, пользователь выполняет прописанные скрипты, которые тайно скачивают и устанавливают троян.

Поддельные программы обновления начинают заражать систему, применяя ошибки и недостатки устаревшего ПО.

Основные методы появления вирусов:

  • Программа с вирусом скачивается и устанавливается на ПК (бесплатные программы часто идут в комплекте с RMS Rat virus).
  • Открыто зараженное электронное письмо.
  • Пользователь кликнул на всплывающую рекламу.
  • Пиринговые сети.

Троянская программа запускает цепную реакцию, дополнительно устанавливая другие вирусы

RMS Rat virus: легитимное или поддельное?

Когда пользователь замечает файл RMS Rat virus, он может проверить, является ли он легитимным или поддельным, двумя способами.

  • Расположение файла. Стандартный файл находится в папке C:\Windows\System32. Все остальные файлы с RMS Rat virus в названии размещаются в разных папках, но не в папке C:Windows\System32.
  • Диспетчер задач. Сначала запустите диспетчер задач - перейдите в раздел "Процессы" и найдите RMS Rat virus.exe - щелкните на нем правой кнопкой мыши, чтобы удалить его - если Windows покажет предупреждение, значит RMS Rat virus.exe - хороший процесс и его не нужно удалять. В противном случае, если появляется предупреждение, процесс RMS Rat virus.exe является поддельным.

Удалите RMS Rat virus из вашей системы

Очень часто бывает, что пользователь замечает, что троянская программа остается в системе после удаления. Это может быть связано с тем, что реестр с остальными системными файлами ПК заражены. Давайте попробуем удалить RMS Rat virus с компьютера:

Метод 1: Удалить RMS Rat virus с AVarmor

AVarmora представляет собой инструмент, который удаляет вредоносное ПО. Утилита помогает пользователям удалять с компьютера трояны типа RMS Rat virus и различные вредоносные программы. Утилита имеет простой и удобный интерфейс, а также мощные механизмы для защиты всей системы вашего ПК.

  1. Скачайте и установите AVarmor.
  2. После завершения процесса загрузки запустите утилиту, согласившись с ее настройками. Перед этим необходимо закрыть все посторонние программы на вашем компьютере.
  3. Утилита начнет свою работу, и пользователю необходимо нажать кнопку "Сканировать" на наличие вредоносного ПО.
  4. После завершения сканирования будет сформирован список найденных опасных объектов.
  5. Удалить все найденные угрозы.
  6. После завершения очистки перезагрузите компьютер.

Метод 2: Удаление через редактор реестра

Те, кто хочет попробовать удалить RMS Rat virus вручную, используют Regedit, так как троян может сам изменять реестр.

  1. Давайте запустим командную строку.
  2. Вводим Regedit в командной строке.
  3. Перед деинсталляцией необходимо сделать резервную копию реестра (Файл - Экспорт - сохранить реестр в безопасном месте).
  4. Как только резервная копия будет создана, нажмите Правка - Найти.
  5. Введите RMS Rat virus.exe - Find next.
  6. Реестр найден? Щелкните по нему правой кнопкой мыши и нажмите Удалить.

Метод 3: Подключите компьютер к сети и войдите в безопасный режим

Сначала попробуйте загрузить компьютер в безопасном режиме. Это поможет вам предотвратить запуск RMS Rat virus.

Windows 7, 10, Vista, XP

  1. Сначала выполните перезагрузку компьютера.
  2. Нажмите F8 до появления Windows.
  3. Вы увидите меню дополнительных опций.
  4. Перейдите в "Безопасный режим с подключением к сети"
  5. Нажмите Enter.

Windows 8, Windows 8.1

  1. Нажмите Windows+R, чтобы вызвать окно RUN.
  2. Введите команду msconfig.
  3. Нажмите OK.
  4. Перейдите на вкладку Boot.
  5. В этой области выберите опции Safe Boot и Networking.
  6. Нажмите OK.
  7. Перезагрузите компьютер.

Метод 4: Удалить все сомнительные приложения

Виновное приложение может остаться даже после попытки его удаления, находя новые места в системе компьютера. Попробуйте определить их местонахождение:

  1. Щелкните правой кнопкой мыши на панели задач.
  2. Выберите Диспетчер задач.
  3. Просмотрите все приложения, которые потребляют системную память.
  4. Найдите приложения, которые не были установлены и запущены пользователем.
  5. Щелкните по ним правой кнопкой мыши, чтобы открыть их местоположение.
  6. Теперь откройте Панель управления.
  7. Нажмите Удалить программу.
  8. Проверьте наличие подозрительных приложений.

Метод 5: Удалить временные файлы

Папка временных файлов - это место, где могут храниться вредоносные файлы. Попробуйте удалить временные файлы и папки:

  1. Откройте окно "Выполнить"
  2. Введите команду %temp% и нажмите Enter.
  3. Появится путь C:\Users\[имя пользователя]\AppData\Local\Temp, то есть откроется папка temp.
  4. Удалите файлы и папки, а затем очистите корзину.

Метод 6: Удалить RMS Rat virus из браузеров

Теперь давайте рассмотрим, как удалить RMS Rat virus в самых популярных браузерах.

Mozilla Firefox

Необходимо удалить опасные расширения:

  1. Откройте Mozilla Firefox и нажмите на Меню.
  2. Перейдите в раздел Дополнения.
  3. Выберите RMS Rat virus и нажмите на Удалить.

Сбросить домашнюю страницу

  1. Нажмите на три горизонтальные линии в правом верхнем углу экрана, чтобы открыть Меню.
  2. Перейдите в Настройки
  3. В этой области выберите предпочтительную домашнюю страницу.

Очистить куки с данными сайта

  1. Переходим в Меню, где выбираем Предпочтения.
  2. Теперь нам нужен раздел Конфиденциальность и безопасность.
  3. Находим раздел Cookies and Site Data.
  4. Нажмите на Очистить данные сайта.
  5. Перезапустить Firefox.
  1. Откройте Firefox.
  2. В правом верхнем углу нажмите на Меню, чтобы перейти к разделу Помощь.
  3. Теперь выберите Информация об устранении неполадок.
  4. Появится новое окно, в котором нужно нажать на Refresh Firefox.
  5. Подтвердите действие.

Google Chrome

Необходимо удалить опасные расширения:

  1. Открыть Chrome.
  2. Нажмите на Меню, чтобы выбрать Другие инструменты.
  3. Затем перейдите к Расширениям.
  4. Появится новое окно со всеми установленными расширениями.
  5. Удалите подозрительный плагин, связанный с RMS Rat virus.

Очистить куки с данными сайта

Сбросить домашнюю страницу

  1. Перейдите в меню и выберите Настройки.
  2. Ищите подозрительный сайт, который находится в разделе "При запуске".
  3. Нажмите Открыть определенную или набор страниц, найдите Удалить.
  4. Перезагрузите браузер.
  1. Перейдите в меню, чтобы выбрать Настройки.
  2. Перейдите в раздел "Расширенные".
  3. Перейдите в раздел "Сброс и очистка."
  4. Нажмите Восстановить настройки по умолчанию.

Internet Explorer

Необходимо удалить опасные расширения:

  1. Выберите знак "шестеренка" Internet Explorer в правой части экрана.
  2. Перейдите в "Управление расширениями".
  3. Просмотрите все недавно установленные подозрительные расширения; среди них есть RMS Rat virus.
  4. Выберите его и удалите.
  1. Нажмите Internet Explorer, чтобы открыть браузер.
  2. Нажмите на значок шестеренки, чтобы выбрать Настройки Интернета.
  3. Появится новое окно, в котором нам нужна вкладка Advanced.
  4. Теперь нажмите на кнопку Сброс.
  5. Подтвердите свои действия.

Microsoft Edge

Необходимо удалить опасные расширения:

  1. Выберите меню
  2. Найти расширения.
  3. В списке выберите расширение, нажмите на знак шестеренки, где выберите Деинсталляция.
  4. Найдите тип Trojan и удалите его.

Очистить куки с данными сайта

  1. Заходим в Меню, где выбираем Конфиденциальность и безопасность.
  2. Теперь нам нужен раздел "Очистить данные браузера", где выбираем категории, которые мы хотим очистить.

Сбросить домашнюю страницу

  1. Нажмите на значок меню, чтобы перейти к Настройкам.
  2. Найдите раздел При запуске.
  3. Нажмите Отключить на подозрительном домене.
  1. Нажмите Ctrl+Shift+Esc, чтобы открыть диспетчер задач.
  2. Нажмите Подробнее.
  3. Перейдите в нижнюю часть страницы, где вам нужно найти все записи с именем Microsoft Edge. Щелкните правой кнопкой мыши на каждой из них и выберите Завершить задачу.

Safari

Необходимо удалить опасные расширения:

  1. Нажмите на знак Safari.
  2. Перейдите в Параметры.
  3. Появится новое окно, в котором нужно выбрать Расширения.
  4. Выберите нежелательное расширение и нажмите кнопку Uninstall.

Очистить куки с данными сайта

  1. Нажмите на значок Safari и выберите Очистить историю.
  2. Под пунктом Очистить появится выпадающее меню, в котором нужно выбрать всю историю.
  3. Подтвердите свой выбор.
  1. Нажмите на знак Safari, чтобы выбрать Настройки.
  2. Нажмите на вкладку Advanced.
  3. Поставьте галочку напротив Show Develop menu.
  4. Далее нажмите кнопку Develop и выберите Empty Caches.

Все мы знаем, что Интернет продолжает стремительно развиваться, становясь все более обширным. Каждый пользователь не должен забывать защищать свою систему от вирусов типа RMS Rat virus.

Все мы знаем, что Интернет продолжает стремительно развиваться, становясь все более обширным. Каждый пользователь не должен забывать защищать свою систему от вирусов типа RMS Rat virus.

Инструкции по удалению RMS Rat virus

Шаг 1:
Разрешите AVarmor просканировать ваш компьютер на наличие вредоносных программ и других вирусов.

Читайте также: