G Data обнаружила новый пророссийский вредоносный код

Немецкая антивирусная компания G Data Security утверждает, что российские власти стоят за созданием нового вредоносного кода Uroburos. В G Data утверждают, что вредонос имеет российские корни, во-первых, из-за сложного кода, традиционного для про-российских кодов, во-вторых, здесь есть некоторые элементы исходников, которые прежде уже использовались российскими «госхакерами», а в-третьих, в исходном коде Uroburos есть комментарии на русском языке.

Антивирусная компания утверждает, что автор кода использует криптографические ключи и логику поведения, схожие с теми, что ранее использовались российскими вредоносными кодами. Кроме того, в процессе работы Uroburos ищет на целевых системах другое вредоносное ПО, имеющее российские про-государственные корни. «Было установлено, что Uroburus занимается поиском в системе кода Agent.BTZ и может работать с ним в паре», — говорят в G Data. Напомним, что Agent.BTZ представляет собой вредоносный код, созданный в 2008 году для атаки ИТ-систем Пентагона.

В четверг на этой неделе на конференции TrustyCon известный антивирусный специалист Микко Хиппонен из компании F-Secure, представил доклад, в котором заявил, что на сегодня в реальности немногие страны на государственном уровне финансируют создание вредоносного программного обеспечения, в том числе Россия и США. «Еще 10 лет назад такое казалось бы научной фантастикой», — говорит Хиппонен.

Наиболее известным «гос-вирусом» на сегодня считается Stuxnet, направленный на атаку иранских ядерных объектов. Считается, что за данным кодом стоит совместная группа программистов из США и Израиля, создавшая код на правительственные деньги.

Что касается Uroburos, то этот код представляет собой руткит из двух файлов. Он использует ряд технологий, затрудняющих его обнаружение в зараженной системе. Здесь присутствует специализированный драйвер и виртуальная файловая система, которые позволяют вредоносу исполнять удаленные команды оператора, скрывать системную активность на пораженном компьютере и выполнять другие действия. Кроме того, вредонос обладает довольно гибкой модульной архитектурой, которая позволяет добавлять и удалять модули под нужды конкретной кампании.

В G Data говорят, что Uroburos — это один из самых продвинутых руткитов, и хотя он берет свое начало еще в 2011 году, его код довольно сложен даже по нынешним меркам. Так, код попав на компьютер с интернет-подключением может по цепочке заражать компьютеры, которые не имеют такого подключения и проникать в изолированные системы. Помимо этого, код указывает на существование версий для 32- и 64-битных архитектур.

Также антивирусная компания отмечает, что пока она не завершила анализ кода и продолжает наблюдать за ситуацией.

Источник: cybersecurity.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s