Обнаружен еще один троян, способный обходить песочницу

[SQ]

Исследователи зафиксировали распространение новой модификации вируса Sazoora, предназначенного для похищения конфиденциальных данных.

По словам технического директора Seculert Авива Раффа (Aviv Raff), обнаруженная компанией новая версия вируса Sazoora была изменена и дополнена функционалом обхода песочницы.

«Вместо того, чтобы немедленно приступать к выполнению вредоносных действий (ред. – по аналогии с первой версией трояна), Sazoora.B ожидает около 15 минут, прежде чем проявлять активность. Из-за соблюдения этой фазы покоя вирус обнаружить невозможно», - поясняет Рафф в своем блоге.

Другим существенным отличием является тот факт, что модифицированный троян сначала устанавливает связь со своим C&C сервером перед началом передачи похищенных данных. Таким образом вирус проходит аутентификацию на подконтрольной злоумышленникам системе (с использованием электронных подписей).

«Такая авторизация позволяет Sazoora убедиться, что сервер принадлежит атакующей стороне и предотвращает утечку информации, - подчеркивает Рафф. – Также это обеспечивает определенную защиту от попыток захвата контроля над ботнетом».

В течение последнего месяца, по данным исследователей, в Сети произошло не менее 23 тысяч случаев заражения этим вирусом. Большей частью эти инциденты произошли в Австрии, Швейцарии, Бельгии и США.

Подробнее: здесь

Изменено 23 октября, 2013 пользователем SQ