Евгений Малинин 122 Опубликовано 20 августа, 2012 Share Опубликовано 20 августа, 2012 Антивирусные компании разоблачили очередную таргетированную атаку, на которую неизвестные злоумышленники потратили немало сил, времени и денег. Новому трояну дали название Shamoon, по названию папки, прописанной в исполняемом файле. C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb «Лаборатория Касперского» присвоила трояну название Trojan.Win32.EraseMBR и Trojan.Win64.EraseMBR. Троян скрывает свою работу от антивирусов и собирает информацию на заражённом компьютере, что выглядит весьма тривиально. Как обычно для таких таргетированных атак, малое количество заражённых машин гарантирует вирусу достаточно долгий срок работы, прежде чем сигнатура попадёт в антивирусные базы данных. В случае с Shamoon внимание исследователей привлёк факт, что программа имеет функциональность стирать файлы и перезаписывать загрузочную область диска (MBR). Это выглядит очень странно, но специалисты из «Лаборатории Касперского» напомнили, что точно такие же странные инциденты со стиранием файлов были зарегистрированы в Иране. После расследования вредоносной программы Wiper обнаружился пресловутый Flame. На этом аналогии не заканчиваются. Шпионская программа Shamoon тоже занимается сбором документов на заражённых компьютерах и отправляет их на внутренний IP-адрес внутри локальной сети, чтобы не привлекать внимание к своей подозрительной активности. Примерно так же работал и Flame. В общем, авторы такого рода программ заимствуют друг у друга продвинутые методы маскировки шпионского ПО. На скриншоте видно, что шпион отправляет пакеты на внутренний IP-адрес 10.1.252.19. Вероятно, там находится прокси-сервер, который уже связывается напрямую с C&C-сервером. Раскрывающийся текст: Что же по поводу стирания файлов и перезаписи MBR, то это может быть просто операция по удалению следов своей активности, которую троян выполняет после сбора данных. Сертификат драйвера, который стирает MBR, подписан компанией EldoS Corporation, как сказано у них на официальном сайте, компания ставит целью «давать людям уверенность относительно безопасности и цельности своей конфиденциальной информации». Раскрывающийся текст: В данный момент специалисты не могут сказать, против кого была нацелена атака. «Лаборатория Касперского» говорит, что у них есть всего два образца Shamoon, да и те от специалистов по безопасности, и ни одного факта реальных заражений. С другой стороны, Websense сообщает, что пострадала как минимум одна компания из энергетического сектора, а проактивное детектирование Shamoon/DistTrack началось с 13 декабря 2010 года. Источник: http://www.xakep.ru/post/59182/ Ссылка на сообщение Поделиться на другие сайты
Sandynist 1 072 Опубликовано 20 августа, 2012 Share Опубликовано 20 августа, 2012 Да, вот тут немного подробнее, правда на английском Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти