Translate

EnglishFrenchGermanItalianPortugueseSpanish
«  
  »

Буткит 2009

Сергей Голованов

Вячеслав Русаков


В 2008 году мы констатировали появление вредоносной программы Backdoor.Win32.Sinowal и расценивали ее как технологически крайне опасную.

Такая оценка была дана вследствие того, что авторы программы использовали самые продвинутые на тот момент технологии написания вирусов, включая основные:

  1. «Индивидуальное» заражение пользователей взломанных сайтов с помощью большого количества разных уязвимостей, включая некоторые из разряда «0-day».
  2. Использование передовых rootkit-технологий и методов загрузочных вирусов для заражения MBR компьютера пользователя. Методы заражения загрузочных секторов дисков были очень популярны на заре компьютерных вирусов; сейчас произошло возрождение старой технологии, но уже на новом уровне. Проблема усугубляется тем, что многие недавно появившиеся антивирусные средства защиты просто не умеют проверять MBR, так как считалось, что данная угроза уже давно не актуальна.
  3. Использование технологии постоянной миграции серверов управления и заражения (изменение их IP-адреса и доменного имени). Зараженные компьютеры использовали специальный алгоритм создания доменного имени для поиска своих управляющих центров. Впоследствии аналогичная технология была использована во вредоносных программах семейства Kido (Conficker).

Эти вредоносные методы и технологии за год стали «классическими» и теперь используются во многих самых разнообразных вредоносных программах. Разработчики самого буткита тем временем не остановились на достигнутом и пошли дальше в создании, реализации и продвижении своих технологий.

Таким образом, на сегодняшний день буткит является самой продвинутой вредоносной программой: скрытой и не обнаруживаемой большинством современных антивирусных программ.

В конце марта 2009 года эксперты «Лаборатории Касперского» обнаружили распространение в интернете новой модификации буткита. Результаты анализа его работы и способа распространения представлены в данной статье.

Читайте также:

Share
SWW | Май 16th, 2009 | Tags: , , | Category: Вирусный анализ | 4 комментариев | Print

4 comments to Буткит 2009

  • coban
    25.05.2009 at 11:06  (Quote) · Reply

    прикольно получается) вначале про секьюрные функции(memcpy_s), а потом про кидо который

  • coban
    25.05.2009 at 11:08  (Quote) · Reply

    который эксплойтит секьюрную функцию)
    http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
    «Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его.»

  • coban
    25.05.2009 at 15:15  (Quote) · Reply

    но про кидо ведь тоже было чуть-чуть)))
    имхо секьюрные функции не панацея, и очень опасно полагаться на них всецело в надежде, что индусы смогут их освоить)

Leave a Reply

  

  

  

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="" highlight="">