Перейти к содержанию
Ego Dekker

Центр вирусных исследований и аналитики ESET выпускает отчёт о рутките Win32/Olmarik

Recommended Posts

Ego Dekker

Российское представительство компании ESET, международного разработчика антивирусного ПО и решений в области компьютерной безопасности, сообщает о выпуске аналитического отчёта, посвящённого последней модификации известного руткита Win32/Olmarik. Данная публикация открывает серию аналитических материалов об угрозах информационной безопасности, подготовленных Центром вирусных исследований и аналитики российского представительства ESET.

Руткит Win32/Olmarik по классификации ESET (известен также под названием TDSS) активно используется злоумышленниками для создания бот-сетей. Как и многое вредоносное ПО подобного класса, Win32/Olmarik состоит из нескольких функциональных модулей. В результате он может применяться для решения различных задач в зависимости от состава используемых модулей.

Win32/Olmarik приобрёл известность благодаря своей способности обходить защиту многих антивирусных решений, в том числе использующих технологии HIPS для детектирования вредоносных действий исполняемого кода. Кроме того, Win32/Olmarik отличается высоким уровнем выживаемости.

Заслуживают внимания схемы распространения руткита. Например, создатели Win32/Olmarik используют достаточно распространённую сегодня схему Pay-Per-Install, при которой они получают вознаграждение за каждую установку руткита в системе, по сути, за каждое заражение компьютера. В результате, чем успешнее будет руткит, тем больше денег получат его создатели.

Несмотря на то, что руткит известен уже достаточно продолжительное время (около двух лет), вредоносный код регулярно дорабатывается злоумышленниками для успешного противодействия антивирусным решениям. Свежий отчёт ESET агрегирует опыт прошлых изысканий и последних собственных исследований свежих версий руткита, известных под обобщённым названием TDL3. О результатах препарирования Win32/Olmarik читайте в отчёте Центра вирусных исследований и аналитики ESET «Руткит Win32/Olmarik: технологии работы и распространения».

«Модификация руткита TDL3 особо выделяется на фоне других вредоносных программ использованием оригинальных способов внедрения и сокрытия присутствия, — говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства ESET. — По нашим статистическим данным наибольшее распространение эта вредоносная программа получила в США и европейских странах отчасти потому, что некоторые модификации руткита не устанавливаются на компьютеры с локализацией ОС из регионов, не представляющих интереса для злоумышленников. В нашем отчёте мы постарались подробно рассмотреть различные технические нюансы, некоторые из которых не освещались ранее в публичных источниках информации».

Пресс-выпуск.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×