ЛК: Вирус 0zapftis получил сертификат доверия

image

Теги: Лаборатория Касперского, вирус, угроза

Вирус, который используется правительством Германии для слежки за гражданами, может работать на 64-битных системах.

Исследователь «Лаборатории Касперского» Тильманн Вернер (Tillmann Werner) опубликовал в блоге компании подробную информацию о троянской программе, используемой правительством Германии для слежки за гражданами. Напомним, что на прошлой неделе группа хакеров Chaos Computer Club (CCC) представила аналитический отчет, в котором заявила, что немецкая полиция использует троянскую программу для слежки за подозреваемыми.

Через некоторое время после публикации CCC, компания F-Secure заявила о том, что на портал VirusTotal.com был выгружен загрузчик вируса, получившего название 0zapftis. Запросив от сотрудников F-Secure хэш вредоносного файла, специалисты ЛК нашли его в своей базе и провели тщательное исследование.

Исследователям удалось установить, что загрузчик содержит пять компонентов, каждый из которых несет собственный функционал. Сотрудников ЛК удалось выяснить, что вредоносная программа способна вируса поражать как 32-битные, так и 64-битные Windows платформы. Также шпионская программа следит за деятельностью довольно широкого спектра программ. Среди этих программ находятся все популярные браузеры и IM-клиенты. Вот полный список процессов, компрометируемых вирусом 0zapftis:

  • explorer.exe
  • firefox.exe
  • icqlite.exe
  • lowratevoip.exe
  • msnmsgr.exe
  • opera.exe
  • paltalk.exe
  • simplite-icq-aim.exe
  • simppro.exe
  • sipgatexlite.exe
  • skype.exe
  • skypepm.exe
  • voipbuster.exe
  • x-lite.exe
  • yahoomessenger.exe

Отметим, что для успешной работы вирус должен установить виртуальное устройство в режиме ядра. В случае с 64-битной версией Windows, при установке усстройства система запрашивает цифровую подпись сертификата доверия. Устанавливаемый загрузчиком 0zapftis драйвер содержит 1024 битный RSA сертификат, сгенерированный компанией Goose 11 апреля 2010 года.

Подробную информацию об исследовании сотрудников «Лаборатории Касперского» можно просмотреть здесь.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus