Лаборатория Касперского рассказала о новом варианте буткита

Александр Панасенко 15 Мая 2009 - 11:36

...

Новая версия буткита, обнаруженная в конце марта, распространяется через взломанные сайты, порноресурсы и сайты, с которых можно загрузить пиратское ПО. Практически все серверы, участвующие в процессе заражения пользователей, имеют «русскоязычный» след: работают в рамках так называемых «партнерских программ» - схем взаимодействия между владельцами сайтов и авторами вредоносных программ.

К относительно новым технологиям можно отнести механизм создания доменного имени сайта, с которого будут распространятся эксплойты. Этот метод делает практически невозможным применение «черных» списков для блокирования доступа к сайтам с эксплойтами.

Буткит, как и прежде, использует способ, основанный на заражении MBR, для того, чтобы загрузить свой драйвер во время старта операционной системы. Но по сравнению с предыдущими версиями, задействованы более продвинутые технологии сокрытия присутствия в системе. Существенные изменение претерпел код драйвера. Большинство ключевых функций, устанавливающих перехваты системных функций ОС или являющихся перехватами, морфированы, что заметно усложняет процедуру анализа вредоносного кода.

Из сравнения показателей обнаружения буткита продуктами антивирусных компаний следует, что при очередном изменении злоумышленниками алгоритма создания имени домена и методов упаковки эксплойтов с телом буткита, ни один из них не сможет остановить проникновение буткита на компьютер и после этого оперативно вылечить зараженную систему.

«Лаборатория Касперского», обеспечивает надежную защиту своих пользователей от новой модификации буткита на всех этапах его работы. При посещении зараженной страницы Kaspersky Internet Security блокирует доступ к генерируемому имени сайта для загрузки эксплойта, скрипты для создания и загрузки эксплойтов и самые опасные и актуальные эксплойты.

Работа последней модификации буткита демонстрирует необходимость улучшения существующих антивирусных технологий, способных эффективно противодействовать не только попыткам заражения компьютеров, но и обнаруживать сложнейшие угрозы, действующие в операционной системе на самом «глубоком» уровне.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 12 Мая 2025 - 19:41

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники крадут данные через поддельные рабочие чаты без живых людей

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупредило о новой схеме мошенничества — злоумышленники всё чаще используют фейковые рабочие чаты для кражи данных.

Как сообщает УБК МВД, такие чаты создаются с целью имитировать официальное рабочее общение и тем самым ввести жертву в заблуждение.

«Сценарий простой: человека добавляют в якобы рабочий или тематический чат — например, от имени бывшего или текущего работодателя. В чате — якобы “коллеги”, которые уже прошли все необходимые “процедуры” и охотно делятся опытом. На деле, возможно, ни одного реального человека в этом чате и нет», — говорится в официальном телеграм-канале УБК МВД.

Главная цель мошенников — убедить жертву совершить одно из следующих действий:

передать код из СМС-сообщения;
перейти по ссылке для «подтверждения личности»;
«пройти проверку» по предложенной схеме;
передать ключ электронной подписи.

Признаки фейкового чата, на которые стоит обратить внимание: отсутствие знакомых участников, постановочный характер диалогов, а также то, что все участники якобы уже успешно прошли предложенные процедуры.

Лаборатория Касперского рассказала о новом варианте буткита

Читайте также