Пятница, 29.03.2024, 14:20
Приветствую Вас Гость | RSS
Deliverance Inc.
Главная | | Регистрация | Вход
Меню сайта
Наш опрос
Оцените мой сайт
1. Отлично
2. Ужасно
3. Хорошо
4. Неплохо
5. Плохо
Всего ответов: 38
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » 2011 » Март » 3 » ZeuS !!!
20:43
ZeuS !!!

ZeuS научился отличать виртуальное окружение от реальной системы

Эксперты "Лаборатории Касперского" более детально изучили новые образцы вредоносного кода трояна, ставшего результатом объединения двух проектов ZeuS и SpyEye. Эксперты полагают, что разработчик SpyEye выжмет из ZeuS самое ценное и реализует в SpyEye. Но, на удивление специалистов, новый образец ZeuS пополнился новыми функциями, которые существенно отличаются от модификаций, создаваемых с помощью конструкторов ZeuS (ZeuS-builder-ов), что позволяет предположить существование поддержки и развития ZeuS. Несколько месяцев назад был обнаружен ZeuS, который имел новый функционал: он проверял, не выполняют ли его на тестовой платформе, например, внутри "песочницы" исследовательской компании. Троянец прекращал свое выполнение, если по некоторым признакам определял, что запущен в определенном окружении для анализа. Несколько недель назад появился другой ZeuS со странной для этого семейства активностью. Все последние варианты ZeuS имели один и тот же алгоритм расшифровки секции внутри своего кода, которая содержала начальные внутренние настройки троянца (ссылка, по которой должен загружаться файл конфигурации, ключ шифрования трафика и т.п.). Так вот, в новом необычном образце обнаружилось двойное шифрование. Сначала данные расшифровываются по стандартному алгоритму, но адрес к файлу конфигурации при этом получается фальшивый. И только вторая расшифровка дает реальную ссылку на файл конфигурации, в котором, собственно, указывается адрес центра управления ботнетом. Несколько дней назад был зафиксирован ZeuS, который также проверяет, не запущен ли он для анализа, например, в антивирусной компании. Функционал тот же, но уже с небольшими изменениями: добавился еще один критерий для обнаружения новой тестовой площадки. Этот вариант ZeuS к тому же имеет измененные по структуре части кода, которые оставались неизменными более полугода, а это тысячи и тысячи модификаций троянца. Изменение части кода указывает на то, что образец был создан с помощью новой перекомпилированной версии конструктора ZeuS. Специалисты "Лаборатории Касперского" отмечают, что обнаруженный функционал определения тестовых платформ уникален. Скорее всего, он был добавлен к основному функционалу ZeuS по заказу как специальная функция. Таким образом, очень похоже на то, что эта модификация ZeuS является свидетельством продолжения технической поддержки "важных" клиентов, использующих трояна в своей деятельности.
Подробнее

Просмотров: 2546 | Добавил: Deliverance
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Календарь
«  Март 2011  »
ПнВтСрЧтПтСбВс
 123456
78910111213
14151617181920
21222324252627
28293031
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • SolarSystem
  • Clan Wars
  • Грани Реальности
  • CARNAGE
  • Copyright MyCorp © 2024