Не подключайте, что попало: обнаружен новый вирус, передающийся через USB
Конечные цели которого пока неизвестныПосле подключения червь порождает новый процесс с помощью cmd.exe для запуска вредоносного файла, хранящегося на зараженном диске.
Он использует стандартный установщик Microsoft (msiexec.exe) для связи со своими серверами командования и управления (C2), которые, вероятно, размещены на взломанных устройствах QNAP и используют узлы выхода TOR в качестве дополнительной инфраструктуры C2.
Хотя исследователи еще не выяснили, обеспечивает ли он устойчивость и какими методами, они подозревают, что вредоносная программа устанавливает вредоносный DLL-файл [1, 2] на скомпрометированные машины, чтобы противостоять своему удалению между перезагрузками.
Raspberry Robin запускает эту DLL с помощью двух других легитимных утилит Windows: fodhelper (доверенный двоичный файл для управления функциями в настройках Windows) и odbcconf (инструмент для настройки драйверов ODBC).
Первая позволяет обойти User Account Control (UAC), а вторая помогает выполнить и настроить DLL.
Хотя аналитики Red Canary смогли внимательно изучить, что делает вновь обнаруженный вирус на зараженных системах, все еще остается несколько вопросов, требующих ответа.
Поскольку нет никакой информации о конечных вредоносных задачах этой вредоносной программы, еще один вопрос, требующий ответа, - какова цель операторов Raspberry Robin.