Trojan.Gapz.1 заражает Windows по-новому

Александр Панасенко 12 Ноября 2012 - 20:31

Общее

Windows

Доктор Веб

Вредоносные программы

Руткиты

Трояны

...

В антивирусную лабораторию компании «Доктор Веб» поступил очередной образец вредоносной программы, реализующей функции буткита и способной скрывать свое присутствие в инфицированной системе.

В данном приложении, добавленном в вирусные базы под именем Trojan.Gapz.1, применяются достаточно интересные механизмы заражения пользовательского компьютера. Одно из предназначений руткита — создание на инфицированном ПК среды для загрузки своих основных модулей, несущих различную функциональную нагрузку.

Trojan.Gapz.1 способен работать как в 32-битных, так и в 64-битных версиях ОС Windows. В процессе заражения троянец проверяет версию используемой на инфицируемом компьютере системы. Соответственно, сама процедура установки этой вредоносной программы различается в зависимости от вида платформы. Троянец также способен активно использовать уязвимости ряда системных компонентов, что позволяет ему осуществить выполнение специальным образом сформированного кода, что весьма нетипично для подобного класса угроз.

Инсталлятор буткита осуществляет попытки обхода механизма контроля учетных записей (User Accounts Control, UAC), предотвращающего несанкционированный запуск в системе исполняемых файлов, эксплуатируя уязвимости графической подсистемы Windows. Интересен тот факт, что схожую технологию (использование специально подготовленного шрифта Dexter Regular) применял в свое время известный троянец Trojan.Duqu, подробно исследованный специалистами различных антивирусных компаний.

Затем Trojan.Gapz.1 анализирует структуру жесткого диска инфицируемого компьютера, формирует специальный образ и размещает его в зарезервированных секторах диска. После этого троянец модифицирует одно поле в загрузочном секторе диска, и таким образом заставляет системный загрузчик подгрузить и запустить вредоносное приложение.

Фактически руткит Trojan.Gapz.1 — ядро сложной вредоносной программы, основная задача которой заключается в том, чтобы создать подходящую среду для загрузки других компонентов троянца. В процессе своего запускаTrojan.Gapz.1 подгружает с диска бинарный образ, содержащий набор из нескольких модулей и блока конфигурационных данных. Эти модули представляют собой блоки специальным образом собранного кода, который в процессе своего выполнения взаимодействует с собственным API руткита. Назначение и функциональные возможности этих компонентов пока еще до конца не изучены; например, один из модулей обладает способностью устанавливать соединение с удаленным командным центром и загружать оттуда исполняемые файлы. Так, специалистами компании «Доктор Веб» был зафиксирован факт загрузки вредоносного приложения, предназначенного для работы с платежной системой UCash.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 29 Апреля 2025 - 16:39

Атаки на сайты DDoS-атаки Корпорации Государство ГК «Солар»

Основными целями DDoS-атак в начале 2025 года стали госсектор, банки и ТЭК

Согласно статистике сервиса Anti-DDoS платформы Solar MSS за январь–март 2025 года, основная часть атак пришлась на нефтегазовые компании, государственные структуры и банки. По традиции высокую активность злоумышленники также проявляли в отношении ИТ- и телеком-отраслей.

Особенно заметный рост атак зафиксирован в нефтегазовом секторе — как в годовом выражении, так и по сравнению с предыдущим кварталом.

В начале 2025 года специалисты ГК «Солар» зафиксировали 10,7 тыс. DDoS-атак на организации из нефтегазовой отрасли. В среднем на одну компанию пришлось 27 атак за три месяца — это на 67% больше, чем в аналогичном периоде прошлого года, и на 60% больше по сравнению с IV кварталом 2024 года. Нефтегазовый сектор вошёл в топ-5 наиболее атакуемых отраслей впервые за длительное время.

Государственные учреждения подверглись 15,5 тыс. DDoS-атак. В пересчёте на одну организацию госсектор сохранил первое место по числу атак, причём с большим отрывом.

Банковский сектор занял второе место с 18,7 тыс. атак, несмотря на снижение активности злоумышленников по сравнению с концом 2024 года. Пик атак пришёлся на март — сразу после завершения переговоров Украины и США в Саудовской Аравии.

Телеком-отрасль также оказалась в числе лидеров — зафиксировано 18,8 тыс. атак. Однако в пересчёте на одну организацию показатель оказался ниже, чем у банков.

По региональному распределению традиционно лидирует Москва — свыше 60 тыс. атак за квартал. Далее следуют:

Уральский федеральный округ — 12 тыс. атак,
Сибирский федеральный округ — 13 тыс.,
Приволжский федеральный округ — 14 тыс.,
Центральный федеральный округ — 8 тыс.
Отдельно отмечены Северо-Западный федеральный округ (17 тыс. атак) и Южный федеральный округ (7 тыс.).

По словам Сергея Левина, руководителя направления Anti-DDoS ГК «Солар», в первом квартале 2025 года хакеры стали чаще применять тактику «осторожных» атак:

«Сначала злоумышленники пробуют прощупать защиту компании минимальными ресурсами. Если атака неудачна, они либо переходят к новой цели, либо меняют тактику — например, начинают использовать атаки уровня приложений (L7), требующие защиты средствами WAF. Если же они подозревают отсутствие эффективной защиты, может последовать мощная атака. Однако таких случаев становится всё меньше, поскольку защищённость российских организаций, в том числе в регионах, растёт».

Trojan.Gapz.1 заражает Windows по-новому

Читайте также