ЛК: Вирус 0zapftis получил сертификат доверия

image

Теги: Лаборатория Касперского, вирус, угроза

Вирус, который используется правительством Германии для слежки за гражданами, может работать на 64-битных системах.

Исследователь «Лаборатории Касперского» Тильманн Вернер (Tillmann Werner) опубликовал в блоге компании подробную информацию о троянской программе, используемой правительством Германии для слежки за гражданами. Напомним, что на прошлой неделе группа хакеров Chaos Computer Club (CCC) представила аналитический отчет, в котором заявила, что немецкая полиция использует троянскую программу для слежки за подозреваемыми.

Через некоторое время после публикации CCC, компания F-Secure заявила о том, что на портал VirusTotal.com был выгружен загрузчик вируса, получившего название 0zapftis. Запросив от сотрудников F-Secure хэш вредоносного файла, специалисты ЛК нашли его в своей базе и провели тщательное исследование.

Исследователям удалось установить, что загрузчик содержит пять компонентов, каждый из которых несет собственный функционал. Сотрудников ЛК удалось выяснить, что вредоносная программа способна вируса поражать как 32-битные, так и 64-битные Windows платформы. Также шпионская программа следит за деятельностью довольно широкого спектра программ. Среди этих программ находятся все популярные браузеры и IM-клиенты. Вот полный список процессов, компрометируемых вирусом 0zapftis:

  • explorer.exe
  • firefox.exe
  • icqlite.exe
  • lowratevoip.exe
  • msnmsgr.exe
  • opera.exe
  • paltalk.exe
  • simplite-icq-aim.exe
  • simppro.exe
  • sipgatexlite.exe
  • skype.exe
  • skypepm.exe
  • voipbuster.exe
  • x-lite.exe
  • yahoomessenger.exe

Отметим, что для успешной работы вирус должен установить виртуальное устройство в режиме ядра. В случае с 64-битной версией Windows, при установке усстройства система запрашивает цифровую подпись сертификата доверия. Устанавливаемый загрузчиком 0zapftis драйвер содержит 1024 битный RSA сертификат, сгенерированный компанией Goose 11 апреля 2010 года.

Подробную информацию об исследовании сотрудников «Лаборатории Касперского» можно просмотреть здесь.


или введите имя

CAPTCHA
Страницы: 1  2  
охренетьжеж!
19-10-2011 19:39:02
>для успешной работы вирус должен установить виртуальное устройство в режиме ядра это трындец, г-да гусары. кстати, админы, избавьие же меня от курьера! Дайте нормальный шрифт!
0 |
23-10-2011 17:40:43
Да Вы сами можете установить желаемый шрифт - либо через настройки шрифтов в браузере, либо просто заменив стиль CSS в браузере на собственный (я так и сделал).
0 |
ололош
20-10-2011 02:48:17
драйвер сделан для дурако-устойчивости))
0 |
20-10-2011 08:17:36
Запалили бошей. За такие вещи кое что отрывать надо.
0 |
04449
20-10-2011 17:22:09
Правителям США проше, их бэкдоры встроены в железо.
0 |
гость
22-10-2011 23:02:24
Правителям США проще, их бэкдоры встроены в железоэто как? в железном заборе автогеном вырезали калитку?
0 |
Никита Системный
23-10-2011 05:34:21
Скоро нам предёться писать свой пиратский антивирь от правительственного совсем не вредоносного ПО)
0 |
джигурда
28-10-2011 23:11:02
С блэкджеком и шлю...
0 |
Страницы: 1  2