Центр вирусных исследований и аналитики ESET выпускает отчёт о рутките Win32/Olmarik - Eset NOD32 Antivirus & Smart Security - Форумы Anti-Malware.ru Перейти к содержанию
Ego Dekker

Центр вирусных исследований и аналитики ESET выпускает отчёт о рутките Win32/Olmarik

Recommended Posts

Ego Dekker

Российское представительство компании ESET, международного разработчика антивирусного ПО и решений в области компьютерной безопасности, сообщает о выпуске аналитического отчёта, посвящённого последней модификации известного руткита Win32/Olmarik. Данная публикация открывает серию аналитических материалов об угрозах информационной безопасности, подготовленных Центром вирусных исследований и аналитики российского представительства ESET.

Руткит Win32/Olmarik по классификации ESET (известен также под названием TDSS) активно используется злоумышленниками для создания бот-сетей. Как и многое вредоносное ПО подобного класса, Win32/Olmarik состоит из нескольких функциональных модулей. В результате он может применяться для решения различных задач в зависимости от состава используемых модулей.

Win32/Olmarik приобрёл известность благодаря своей способности обходить защиту многих антивирусных решений, в том числе использующих технологии HIPS для детектирования вредоносных действий исполняемого кода. Кроме того, Win32/Olmarik отличается высоким уровнем выживаемости.

Заслуживают внимания схемы распространения руткита. Например, создатели Win32/Olmarik используют достаточно распространённую сегодня схему Pay-Per-Install, при которой они получают вознаграждение за каждую установку руткита в системе, по сути, за каждое заражение компьютера. В результате, чем успешнее будет руткит, тем больше денег получат его создатели.

Несмотря на то, что руткит известен уже достаточно продолжительное время (около двух лет), вредоносный код регулярно дорабатывается злоумышленниками для успешного противодействия антивирусным решениям. Свежий отчёт ESET агрегирует опыт прошлых изысканий и последних собственных исследований свежих версий руткита, известных под обобщённым названием TDL3. О результатах препарирования Win32/Olmarik читайте в отчёте Центра вирусных исследований и аналитики ESET «Руткит Win32/Olmarik: технологии работы и распространения».

«Модификация руткита TDL3 особо выделяется на фоне других вредоносных программ использованием оригинальных способов внедрения и сокрытия присутствия, — говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства ESET. — По нашим статистическим данным наибольшее распространение эта вредоносная программа получила в США и европейских странах отчасти потому, что некоторые модификации руткита не устанавливаются на компьютеры с локализацией ОС из регионов, не представляющих интереса для злоумышленников. В нашем отчёте мы постарались подробно рассмотреть различные технические нюансы, некоторые из которых не освещались ранее в публичных источниках информации».

Пресс-выпуск.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • demkd
      Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается. ---------------------------------------------------------
       5.0.RC2
      ---------------------------------------------------------
       o При обнаружении внедренного потока в процессе в лог печатается точное
         время создания потока и ТОП 10 наиболее вероятных виновников.
         (!) Только для потоков не имеющих привязки к DLL.
         (!) Функция требует активного отслеживания процессов. (Твик #39)

       o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
         Теперь выбирается не логический номер монитора, а его порядковый номер,
         что позволяет избежать проблем при обновлении драйверов на видеокарту
         без закрытия окна удаленного рабочего стола.

       o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
         на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
         настройкам системы и системным утилитам.
         Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

       
    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
×