Показано с 1 по 1 из 1.

Специалисты ЛК обнаружили новую версию трояна ZeroAccess

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254

    Специалисты ЛК обнаружили новую версию трояна ZeroAccess

    На днях экспертами "Лаборатории Касперского" были обнаружены новые экземпляры вредоносной программы MAX++ (он же ZeroAccess). Об этом говорится в корпоративном блоге антивирусной компании. Этот троянец и ранее был известен тем, что использовал передовые rootkit-технологии для скрытия своего присутствия в системе. Если раньше Max++ работал только под платформу x86, то теперь же он способен работать и на x64 системах.

    Заражение пользователей происходит с помощью drive-by атаки на браузер и его компоненты через набор эксплойтов Bleeding Life. В частности, атаке подвергаются модули Acrobat Reader (CVE 2010-0188, CVE 2010-1297, CVE 2010-2884, CVE 2008-2992) и JAVA (CVE 2010-0842, CVE 2010-3552).

    В случае если компьютер пользователя окажется уязвимым перед эксплойтами, то в системе обоснуется троянский загрузчик MAX++. Этот загрузчик определяет разрядность системы, на которой он запущен и, в соответствии с этим, загружает необходимый инсталлятор бэкдора MAX++ (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).

    Инсталлятор MAX++ под x86 не сильно отличается от своего собрата, но предыдущего поколения. При установке, он заражает системный драйвер и загружает его в память, используя вызов ntdll!NtLoadDriver. Загрузка драйвера в память происходит с помощью параметра ImagePath в системном ключе реестра. В этом параметре содержится символьная ссылка на зараженный драйвер. Так же инсталлятор создает в “$windir\system32\config” файл, представляющий собой виртуальный том, форматированный в файловую систему NTFS, с которым работает драйвер вредоносной программы. На нем же и хранятся все модули бэкдора. Данный вариант MAX++ успешно работает на 32-разрядных ОС windows XP/2003 и Windows 7/2008.

    Наиболее интересным является случай, если загрузчик был запущен на x64 системе. В этом случае на компьютер жертвы загружается инсталлятор бэкдора, который специально скомпилирован для работы на 64-разрядных системах. Этот бэкдор не содержит руткит, а представляет собой usermode-зловред, который повторяет работу руткита под x32 с той лишь разницей, что его компоненты представляют собой файлы и хранятся в "$windir\assembly", имея сходную структуру каталогов.

    Автозапуск на x64 обеспечивается ключом реестра “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Session Manager\SubSystems”. Само тело бэкдора расположено в системной папке system32 с именем consrv.dll. Все модули, что бэкдор выкачивает после своей инсталляции, также предназначены для 64-битной платформы. Установка x64 MAX++ достигается путем внедрения в services.exe с использованием функции ntdll!NtQueueApcThread. Трудность лечения зараженной x64 системы связана с ключом автозапуска зловреда: если удалить файл, не исправив ключ реестра, то система уже не сможет загрузиться, а вместо этого будет выдавать BSOD на определённом этапе загрузки.

    Загружаемые модули MAX++ могут выполнять разные действия – подмена поисковой выдачи, кликанье по ссылкам, скачивание по команде.

    securitylab.ru

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 02.08.2012, 14:50
  2. Российские специалисты обнаружили новый бэкдор под Mac OS
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 23.06.2011, 12:10
  3. ИТ-специалисты обнаружили новый тип DDoS-атак
    От Ilya Shabanov в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 20.01.2011, 14:10
  4. Специалисты Symantec обнаружили опасный троян
    От olejah в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 14.07.2010, 20:09
  5. Специалисты Sophos обнаружили вирус в фотокамерах Olympus
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 09.06.2010, 17:40

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00088 seconds with 18 queries