Исследователь вскрыл руткит ZeroAccess

Николай Головко 18 Ноября 2010 - 07:44

...

Вирусный аналитик сумел преодолеть оборону руткита, считавшегося одним из наиболее защищенных и технически совершенных. Предполагается, что разработчики этой вредоносной программы связаны с небезызвестной организацией Russian Business Network.

Исследователь института InfoSec Джузеппе Бонфа, специализирующийся на деконструировании программного обеспечения, опубликовал пошаговые инструкции по реверс-инжинирингу руткита ZeroAccess, создатели которого приняли все доступные им меры для противодействия подобным операциям. Однако защита вредоносного продукта не устояла, и теперь аналитики всех поставщиков антивирусных решений смогут изучить руткит (если они еще не сделали этого) и сформировать предложения по более эффективной борьбе с ним.

Согласно результатам исследований, ZeroAccess, известный также под наименованием Smiscer, весьма сложен для удаления, поскольку в процессе очистки есть существенный риск повредить операционную систему. Кроме того, руткит использует низкоуровневые вызовы API для создания новых логических томов, полностью скрытых от жертвы, тем самым чрезвычайно осложняя процесс исследования и делая невозможным применение традиционных инструментов анализа. Вредоносная программа способна также модифицировать системные драйверы и бороться с антивирусными решениями.

Специалист ESET Пьер-Марк Бюро, к которому Интернет-издание The Register обратилось за комментарием, отметил, что в опубликованном документе представлены и описаны все внутренние механизмы работы одного из наиболее совершенных руткитов современности. "Из статьи можно извлечь множество сведений о технологиях, задействованных при создании вредоносной программы, о принципах управления ею, о способах ее установки в систему, а также о том, как детектировать этот руткит", - написал он в электронном письме.

Г-н Бонфа указал в своей работе, что извлеченные из дизассемблированного продукта вредоносные ссылки содержат IP-адреса, связанные с организацией Russian Business Network. В настоящее время ZeroAccess используется главным образом для доставки лжеантивирусного программного обеспечения, хотя с его помощью на компьютеры жертв можно устанавливать любые разработки "адептов темной стороны".

Ознакомиться с результатами труда аналитика InfoSec Institute можно здесь.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Ноября 2025 - 21:15

Соответствие законодательству РФ Домашние пользователи Государство Защита от мошенничества Безопасность платежей

ЦБ пояснил: переводы себе не тронут, проверять будут свыше 200 тыс. ₽

Банк России уточнил, что проверки на признаки мошенничества затронут не переводы самому себе через Систему быстрых платежей (СБП), а следующие за ними операции — когда клиент переводит деньги другому человеку, которому не отправлял средств минимум полгода.

Разъяснение появилось в официальном сообществе ЦБ во «ВКонтакте» после того, как слова главы департамента информационной безопасности Вадима Уварова вызвали бурное обсуждение.

Ранее он заявил, что крупные переводы самому себе по СБП могут стать признаком мошеннических операций.

В пресс-службе регулятора уточнили: речь идёт только о переводах свыше 200 тысяч рублей, и проверяться будут именно последующие переводы условно «незнакомым» людям, если им не отправлялись деньги в течение полугода.

«Таким образом, проверяться будет не перевод самому себе, а именно последующий перевод другому человеку», — подчеркнули в ЦБ.

По словам Уварова, такие схемы активно используют мошенники: они убеждают человека сначала перевести деньги себе по СБП, а потом направить их на «безопасный счёт».

ЦБ готовит новый приказ с расширенным перечнем признаков подозрительных операций — документ планируют опубликовать в ближайшее время. Предыдущий перечень был обновлён летом 2024 года.

Исследователь вскрыл руткит ZeroAccess

Читайте также