Навигация

Популярные статьи
  • «Site Ok‎»: Ваш надежный партнер в продвижении и раскрутке сайтов

  • Авторские и переводные статьи

    Пресс-релизы

    Регистрация на сайте


    Опрос
    Какие телеканалы вы смотрите чаще?







    Группа хакеров распространяет руткит в России и Украине


    11 сентября 2011 | Интернет / На русском языке / ex-СССР | Добавил: Ольга Кравцова
    Специалисты компании-производителя антивирусного программного обеспечения !avast отследили деятельность вируса, разработанного на основе эксплоита Unitrix, функции которого заключаются в маскировке исполняемых файлов под видом обычного текста или видео. Аналитика эксплоита показала, что хакеры используют его не для прямого управления компьютером, а для продажи зараженных систем.

    Злоумышленники загружают на систему специальный загрузчик, который затем скачивает вредоносный исполняемый файл. Вирусописатели имеют возможность изменять содержимое загружаемого файла. Исследование сотрудников !avast показало, что среди хакеров существует целая сеть, состоящая из нескольких подразделений, по всей видимости, работающих в России и Украине.

    Эти подразделения распространяют вирус, который в !avast назвали W32:Fivfrom. Основной задачей вируса является подключение к одному из удаленных серверов и установка вредоносного ПО на зараженный компьютер. Было проанализировано 50 различных файлов, каждый из которых изначально выглядел различным образом. Но при более детальном просмотре в каждом из них были выявлены одинаковые шаблоны.

    Во все файлы было помещено упаковщик исполняемых файлов (UPX), а также полиморфный загрузчик, генерирующий конечный исполняемый файл. Таким образом, вирус имеет два уровня защиты. С помощью отладчика исследователям удалось получить отрезок кода, выполняющий загрузку файла. Аудит полученного кода показал, что файл совершает запрос к одному из серверов злоумышленников:
    //ots.php?подразделение=&хэш={}

    Форма запроса позволила исследователям определить, что злоумышленники разбиты на несколько группировок (подразделений). Каждое подразделение имеет свой уникальный ID. Каждый раз при отправке запроса, сервер получает захэшированный ID подразделения, которому удалось заразить новую систему.

    После отправки запроса, от сервера поступает ответ:
    ||485d4b022a359b9ebc841956bbdc0bc0||http://filmzone.org.ua/k.gif ||0||0||GBNTBBkA.exe||

    В этом ответе указан URL и название исполняемого файла. Загрузчик скачивает файл ( http://filmzone.org.ua/k.gif ), переименовывает его в GBNTBBkA.exe и выполняет.

    При выполнении файла GBNTBBkA.exe, в папку c:\windows\system32\drivers\ помещается файл yplv.sys, который работает как служба Windows. После успешного запуска службы файл скрывается, и увидеть его больше невозможно.

    Это лишь один из файлов, которые могут скачиваться загрузчиком, реализованным на Unitrix. Ни дальнейшего применения, ни альтернатив скачиваемых с помощью загрузчика файлов пока не известно.

    Источник: SecurityLab
    Комментарии (0) | Распечатать | | Добавить в закладки:  

    Другие новости по теме:


     



    Телепрограммы для газет и сайтов.
    25-ть лет стабильной работы: телепрограммы, анонсы, сканворды, кроссворды, головоломки, гороскопы, подборки новостей и другие дополнительные материалы. Качественная работа с 1997 года. Разумная цена.

    Форум

    Фоторепортажи

    Авторская музыка

    Погода

    Афиша

    Кастинги и контакты ТВ шоу

    On-line TV

    Партнеры

    Друзья

    Реклама

    Статистика
    Главная страница  |  Регистрация  |  Добавить новость Copyright © 2002-2012 Все о ТВ и телекоммуникациях. Все права защищены.