Обзор вирусной обстановки за апрель 2008 года от компании «Доктор Веб»

Главным событием конца марта – начала апреля стало обнаружение новой модификации вредоносной программы, получившей наименование по классификации Dr.Web BackDoor.MaosBoot.

Данная вредоносная программы относится к новому классу вирусов, представляя собой комбинацию из загрузочного вируса и руткита. BackDoor.MaosBoot нацелен в основном на проникновение в компьютеры пользователей с целью извлечения конфиденциальной финансовой информации. Вирус обладает обширным списком программ класса "банк-клиент". Усовершенствованная версия вируса с легкостью похищает с зараженных компьютеров по данному списку конфиденциальную финансовую информацию.

В середине апреля службой вирусного мониторинга «Доктор Веб» был зафиксирован всплеск спам-рассылки загрузчика уже подзабытой вредоносной программы Win32.HLLM.Limar. И, хотя данный всплеск не носил эпидемический характер, однако дал понять, что, в будущем, возможно, будет более масштабное распространение этой вредоносной программы.

Однако, по-настоящему знаковым событием стало развенчание службой вирусного мониторинга мифа не существовании варианта вредоносной программы, известной как Rustock.C. Данная вредоносная программа получила наименование Win32.Ntldrbot по классификации Dr.Web. Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.

Некоторые технические характеристики Win32.Ntldrbot
Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
Реализован в виде драйвера уровня ядра, работает на самом низком уровне.
Имеет функцию самозащиты, противодействует модификации времени исполнения.
Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.
Перехватывает системные функции неклассическим методом.
Работает как файловый вирус, заражая системные драйверы.
Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
Имеет защиту от антируткитов.
Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама.
Для связи драйвера с DLL используется специальный механизм передачи команд.

Важным обстоятельством является тот факт, что Dr.Web – единственный на сегодняшний день антивирус, способный не только обнаружить Win32.Ntldrbot в активном состоянии, но и вылечить инфицированную им систему.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Symantec: Российские хакеры взломали инфраструктуру иранских хакеров

Антивирусная компания Symantec опубликовала отчет, согласно которому известная российская киберпреступная группа взломала инфраструктуру такой же киберпреступной группы, но уже из Ирана. Инцидент произошел в 2017 году.

Речь идет о группировке, известной под именем Turla, ее деятельность связывают с российским правительством. Инцидент, о котором пишет Symantec, произошел в 2017 году.

Turla — очень узнаваемое имя в сфере кибербезопасности, на счету группировки многие серьезные операции в цифровом пространстве. Например, представители этой группы разработали один из самых сложных бэкдоров, который используется для атак email-серверов Microsoft Exchange.

Также именно Turla принадлежит разработка хитроумной вредоносной программы, которая получала команды через комментарии к постам в инстаграме Бритни Спирс.

Согласно отчету Symantec, в ноябре 2017 года Turla сумела проникнуть в инфраструктуру иранской киберпреступной группировки APT34 (другие названия — Oilrig и Crambus). Далее Turla использовала серверы C&C, принадлежащие APT34, для установки вредоносных программ на компьютеры, где уже имелись инструменты для взлома, принадлежащие Oilrig.

Судя по всему, операторы APT34 не заподозрили ничего плохого, пропустив момент взлома своей инфраструктуры.

Напомним, что на днях Symantec заявила, что данные, якобы украденные хакерами у антивирусной компании, оказались фейковыми инструментами для тестирования продуктов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru