Miniduke возвращается

Эксперты «Лаборатории Касперского» зафиксировали возвращение вредоносного ПО под названием Miniduke. Специалисты обнаружили бэкдор еще в 2013 году, сообщая об атаке вредоносного ПО на компьютерные системы правительственных органов. Предполагалось, что вредоносное ПО осуществляло атаки с начала 2000-х годов.

Обновленный Miniduke, который в F-Secure известен под названием CosmikDuke, может похищать большое количество информации. Бэкдор маскируется под известные приложения, используя оригинальные иконки официальных программ, их описание, а также оригинальные имена файлов. Для того чтобы лучше замаскировать CosmicDuke под официальное ПО, злоумышленники искусственно увеличили его размер.

Miniduke или CosmicDuke использует для запуска собственный мини-сервис или Планировщик Заданий ОС Windows. Даже если пользователь не работает за компьютером, бэкдор может запуститься при помощи системы активации скринсейвера. Вредоносное ПО может похищать информацию файлов с таким расширением: .exe, .ndb, .mp3, .avi, .rar, .docx, .url, .xlsx, .pptx, .ppsx, .pst, .ost, .psw, .pass, .login, .admin, .sifr, .sifer, .vpn, .jpg, .txt, .lnk, .dll, .obj, .ocx, .js.

CosmicDuke использует алгоритм кодирования аналогичный более ранним версия трояна, однако, формат сообщения с адресом центра управления изменился. Троянец применяет особый обфускатор, а также имеет большой размер файла. Вредоносное ПО запускает два модуля, один из которых полученный с центра управления.

CosmicDuke защищен при помощи специального обфусцированного загрузчика, который очень сильно загружает работу процессора на 3-5 минут перед тем, как выполнить основной код. Это не только делает анализ троянца более сложным, но и усложняет процесс его обнаружения антивирусным ПО. Наибольшее количество случаев инфицирования троянцем CosmicDuke зафиксировано в Грузии, России, а также США.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s