Перейти к содержанию
rkhunter

Анализ интересного ring0 стилера

Recommended Posts

rkhunter

Анализ руткита, предположительно, industrial происхождения, нацелен на похищение информации с устройств, работающих, например, в банкоматах (пока никем неподтвержденная официально информация).

Вся логика работы в ring0.

http://artemonsecurity.blogspot.com/2012/0...ernel-mode.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

что-то новое ? три недели назад же было уже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

[:]||||||||||||||||[:]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Анализ руткита, предположительно, industrial происхождения

не, ну можно и обсудить.

в статье не нашел никаких данных подтверждающих, или даже упоминающих такую теорию.

поэтому хочется узнать - с чего такие выводы ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
не, ну можно и обсудить.

в статье не нашел никаких данных подтверждающих, или даже упоминающих такую теорию.

поэтому хочется узнать - с чего такие выводы ?

Только косвенные признаки, здесь нужны данные по устройству банкомата.

Готов обсудить и отдать всю информацию которая у меня имеется (лучше в личку).

Перед этим вел переговоры с другими господами, но возникла какая-то проволочка, поэтому вот такой очень интересный материал висит в воздухе около 3 недель.

Малварь новая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Эээ, погоди.

Так ты под индустриальностью имеешь в виду - нацеленность, а не происхождение ?

Только косвенные признаки, здесь нужны данные по устройству банкомата.

ccsnf - думаешь "cc снифер" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Так ты под индустриальностью имеешь в виду - нацеленность, а не происхождение ?

Скорее нацеленность, оригинальный дроппер был обнаружен не на зараженной тачке, так что я ничего не могу сказать о том, какова среда обитания этой малвари на сегодняшний день.

ccsnf - думаешь "cc снифер" ?

Да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×