Обнаружен способ которым Flame осуществляет инъекцию кода в Windows

Александр Панасенко 14 Августа 2012 - 14:47

...

Исследователи продолжают восхищаться сложностью трояна Flame (Flamer, Skywiper). Прошло несколько месяцев с момента его обнаружения, но анализ кода продолжается до сих пор. Очередную порцию аналитики вчера опубликовала польская компания CERT Polska, их отчёт посвящён методам внедрения кода Flame в процессы Windows.

Исследователи отмечают, что инъекция кода в процессы и треды считается традиционной техникой работы вирусов, но Flame — это особый случай, потому что здесь данный метод доведён до совершенства. Перенос кода между процессами происходит на протяжении всего цикла жизнедеятельности трояна, начиная от инсталляции, и заканчивая самоуничтожением. «Flame использует эту технику для переноса и копирования своих элементов в разные части операционной системы жертвы с потрясающей ловкостью», — пишут исследователи.

Они рассказывают, как после заражения через эксплойт уязвимости MS10-061 код Flame запускается программой rundll32.exe, после чего внедряется в services.exe, а оттуда — в разные компоненты Windows, в том числе в процесс explorer.exe. В дальнейшем фрагменты кода из разных процессов начинают синхронизировать свои действия: код в explorer.exe ждёт команды от services.exe, после чего создаёт процесс iexplore.exe. В дальнейшем коммуникация между services.exe и iexplore.exe продолжается через именованный канал, причём его имя может генерироваться из случайных символов и отличаться между разными инсталляциями. Тред из services.exe записывает указания в именованный канал, а процесс iexplore.exe получает и исполняет их, пишет xakep.ru.

Все эти сложности с коммуникациями между тремя процессами необходимы для того, чтобы затруднить обнаружение трояна. Если explorer.exe пытается выйти в интернет (например, как это сделано в SpyEye), то это неизбежно вызовет подозрение у файрвола и антивирусной программы. В модульной системе Flame в интернет выходит только процесс iexplorer.exe, что не вызывает никаких подозрений. Запуск iexplorer.exe через explorer.exe тоже является естественной процедурой, ведь пользователи Windows именно так запускают браузер. Вот почему Flame использует explorer.exe в качестве прокси.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 10:19

GenAI (генеративный искусственный интеллект) Общее

ИИ экономит 11 часов в неделю, но 6 из них уходят на присмотр за ботом

Искусственный интеллект попал в неудобную статистику. Новое исследование Work AI Institute показало, что сотрудники действительно экономят время благодаря ИИ — в среднем около 11 часов в неделю. Но есть нюанс: более шести часов из этой экономии приходится тратить на проверку, исправление и контроль работы самого ИИ.

Исследование охватило 6000 офисных сотрудников из США, Великобритании и Австралии.

Опрос показал, что 75% работников заметили рост личной продуктивности после внедрения ИИ-инструментов. Однако только 13% компаний сообщили о заметном росте бизнеса благодаря этим технологиям.

Получается любопытный парадокс. Формально сотрудники работают быстрее, но бизнес почему-то не получает сопоставимой выгоды.

По словам профессора Калифорнийского университета Пола Леонарди, многие недооценивают объём скрытой работы, которая появляется вместе с ИИ. Нужно собирать данные, подготавливать контекст, перепроверять ответы чат-ботов, искать ошибки и дорабатывать результаты вручную.

Фактически современные сотрудники всё чаще выступают не исполнителями, а менеджерами собственных цифровых помощников.

Согласно исследованию, 37% времени взаимодействия с ИИ уходит непосредственно на работу с ботами, а ещё 36% — на применение полученных результатов в реальных задачах. Более того, 41% опрошенных признались, что не могут объяснить, каким образом ИИ пришёл к своим выводам.

Авторы приводят показательный пример. Молодой разработчик перед уходом домой интегрировал в проект тысячи строк кода, сгенерированного ИИ. После этого система перестала работать, а разбираться в причинах пришлось старшему инженеру. Сам автор изменений не смог объяснить, что именно сделал искусственный интеллект.