1. На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.

][-news Специалисты из avast выявили распространение руткита в России и Украине

Тема в разделе "TH3MED N3WS", создана пользователем SrDEN, 9 сен 2011.

  1. SrDEN IPv6

    SrDEN
    TS
    Команда форума WebVoice
    Регистрация:
    14 мар 2007
    Сообщения:
    621
    Симпатии:
    23
    ICQ:
    162224
    В сети отслежена деятельность вируса разработанного на основе эксплойта Unitrix, функционал которого заключаются в маскировке исполняемых файлов под видом обычного текста или видео. Специалисты из компании !avast проанализировав эксплойт и выяснили что хакеры используют его не для прямого управления к зараженной машиной, а для их продажи.

    Принцип заражения следующий, в систему загружается загрузчик, который закачивает вредоносный исполняемый файл. Основной задачей которого является подключение к одному из удаленных серверов и установка вредоносного ПО на зараженный компьютер. Специалисты аваста дали ему название W32:Fivfrom, и проанализировав 50 различных файлов, и при детальном просмотре вывили одинаковые шаблоны, хотя каждый из которых изначально выглядел различным образом.

    Во все файлы было помещено упаковщик исполняемых файлов (UPX), а также полиморфный загрузчик, генерирующий конечный исполняемый файл. Таким образом, вирус имеет два уровня защиты. С помощью отладчика исследователям удалось получить отрезок кода, выполняющий загрузку файла. Аудит полученного кода показал, что файл совершает запрос к одному из серверов злоумышленников:
    Код:
    <сервер>/<путь>/ots.php?подразделение=<подразделение_id>&хэш={<хэш для каждого компьютера уникален>}
    Форма запроса позволила исследователям определить, что злоумышленники разбиты на несколько группировок (подразделений). Каждое подразделение имеет свой уникальный ID. Каждый раз при отправке запроса, сервер получает захэшированный ID подразделения, которому удалось заразить новую систему.

    После отправки запроса, от сервера поступает ответ:
    Код:
    ||485d4b022a359b9ebc841956bbdc0bc0||http://filmzone.org.ua/k.gif ||0||0||GBNTBBkA.exe||
    В этом ответе указан URL и название исполняемого файла. Загрузчик скачивает файл http://filmzone.org.ua/k.gif, переименовывает его в GBNTBBkA.exe и выполняет.

    При выполнении файла GBNTBBkA.exe, в папку c:\windows\system32\drivers\ помещается файл yplv.sys, который работает как служба Windows. После успешного запуска службы файл скрывается, и увидеть его больше невозможно.

    Это лишь один из файлов, которые могут скачиваться загрузчиком, реализованным на Unitrix. Ни дальнейшего применения, ни альтернатив скачиваемых с помощью загрузчика файлов пока не известно.

    Ознакомиться с публикацией сотрудников !avast можно здесь.
     
  2. Neuromancer Neuromancer

    Neuromancer
    WebVoice
    Регистрация:
    25 июл 2008
    Сообщения:
    682
    Симпатии:
    3
    Аваст пади опять из 7б хохлов заломал - неплохая реклама наверно, мол мы перехватили закешированный вирус :)