Троян Citadel скрывает адрес реального C&C сервера

image

Теги: Citadel, троян, исследование

Авторы вируса реализовали функцию обнаружения виртуальных сред.

В сети появилась новая версия трояна Citadel, способная распознавать наличие работающих виртуальных сред на зараженной системе. Такую информацию предоставили эксперты антивирусной компании S21sec.

По словам исследователей, авторы вируса оптимизировали ряд функций, а также добавили несколько новых. Среди прочего, троян получил улучшенный алгоритм шифрования, позволяющий шифровать весь сетевой трафик во время сеанса связи.

В S21sec также отметили, что наиболее важные изменения в трояне были описаны его авторами на одном из подпольных форумов до появления в свободном доступе. «Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры», - следует из сообщения вирусописателей .

По данным экспертов, при заражении системы троян проверяет компьютер на наличие запущенных процессов таких виртуальных сред как VMware, Virtualbox или CWSandbox. Если выясняется, что на системе запущена песочница, троян создает ложный домен и пытается связаться с ним, имитируя отключенный сервер. Если данная проверка прошла удачно Citadel связывается с настоящим удаленным сервером.

Ознакомиться с отчетом исследователей можно здесь.  


или введите имя

CAPTCHA
Aids
29-06-2012 23:12:49
Массовый идиотизм, сначала симантек о земре, который 100/500 лет как опен сорц, сейчас о зевсе, какой то бред. Логика авторов не понятна, антиэмуль предназначен для остановки активности в песочнице, что бы троя не задетектили на автомате. А то что он стучит на сервер то скорее всего будет добавлен на автомате. Тупизм....
0 |
Кирилл
02-07-2012 09:03:25
Смотря куда стучится.Если какой-то процесс "типа" стучится на один из серверов мелкомягких, ООчень большая вероятность что даже продвинутый юзер его поместит в рашрешенные или доверенные. Опять же, взломать человека становиться гораздо проще чем ЭВМ. Если узкое место в безопасности - оператор, надо убирать это узкое место.
0 |