Qbot научился следить за состоянием Windows, чтобы лучше спрятаться

Татьяна Никитина 11 Декабря 2020 - 17:11

Домашние пользователи

...

Создатели Qbot выпустили новую версию Windows-зловреда, поместив загрузчик и бот в единый dll-файл. Банковский троян также получил новый защитный механизм, позволяющий ему стартовать перед выключением ПК и автоматически удалять следы своего присутствия при перезагрузке системы или по ее выходе из спящего режима.

Вредонос-полиморфик Qbot, также известный как Qakbot, Quakbot и Pinkslipbot, существует в интернете как минимум с 2009 года. Он способен воровать банковские реквизиты, учетные и персональные данные, регистрировать клавиатурный ввод. Троян также умеет открывать бэкдор на зараженных машинах и самостоятельно распространяться по сети.

Новую версию Qbot обнаружили в конце прошлого месяца исследователи из компании Binary Defense. Она распространялась через спам-письма, снабженные вредоносной ссылкой или вложенным файлом в формате Excel с вредоносным макросом.

Проведенный в Binary Defense анализ выявил функциональность, позволяющую зловреду более эффективно избегать обнаружения. Обновленный Qbot тщательно отслеживает служебные сообщения Windows о состоянии питания (WM_POWERBROADCAST), фиксируя такие события, как Shutdown, Suspend и Resume (отключение, переход в спящий режим, пробуждение), и манипулирует ключом реестра run.

С помощью этого ключа троян прописывается на автозапуск в системе перед выключением питания или ее уходом в спящий режим и пытается удалить эту запись при начальной загрузке системы или ее пробуждении после длительного простоя. Эти трюки, по словам экспертов, позволяют повысить скрытность присутствия Qbot на зараженной машине. Залогом успеха в данном случае является быстрота внесения ключа run и его удаления из системного реестра.

Новая тактика зловреда настолько эффективна, что некоторые исследователи даже сначала решили, что Qbot потерял былую цепкость после обновления. В блог-записи Binary Defense также отмечено, что подобный способ сокрытия не нов, его некогда использовали другие банковские трояны — Gozi и Dridex.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 10:40

GenAI (генеративный искусственный интеллект) Домашние пользователи

Поле Чудес 2 из 1993 года вернулось: ИИ восстановил код за пару часов

ИИ воскресил легендарную игру «Поле Чудес 2» из 1993 года, исходников не было вообще. Разработчик Денис Ширяев рассказал, что с помощью ИИ Claude Fable 5 смог восстановить и перенести в браузер культовую DOS-игру «Поле Чудес 2», вышедшую ещё в 1993 году.

Главная интрига в том, что оригинальные исходники проекта были утеряны много лет назад. Фактически от игры остался только исполняемый файл.

Вместо ручной декомпиляции и многомесячной реконструкции Ширяев решил проверить возможности ИИ и скормил Claude Fable 5 бинарник старой игры.

По словам разработчика, нейросеть проанализировала машинный код, восстановила игровую логику, извлекла графические ресурсы и переписала проект на TypeScript. Весь процесс занял около двух часов, а расходы на API составили примерно 100 долларов.

В итоге появилась полноценная браузерная версия «Поля Чудес 2». В ней сохранены заставка, ввод имени игрока, турнир из восьми этапов, знаменитое колесо с секторами, мини-игра со шкатулками и даже внутриигровой магазин призов.

Более того, автор отдельно восстановил оригинальный генератор случайных чисел, благодаря чему некоторые игровые сценарии могут совпадать с DOS-версией почти один в один.

Сам Ширяев называет Fable и Mythos лазером для разработки ПО. По его словам, современные ИИ-системы уже способны выполнять задачи, которые ещё недавно потребовали бы серьёзной команды реверс-инженеров и десятков часов ручной работы.

Проект опубликован на GitHub под лицензией MIT. Исходный код доступен всем желающим, а поиграть в восстановленную версию можно прямо в браузере.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!