Троян Citadel скрывает адрес реального C&C сервера

image

Теги: Citadel, троян, исследование

Авторы вируса реализовали функцию обнаружения виртуальных сред.

В сети появилась новая версия трояна Citadel, способная распознавать наличие работающих виртуальных сред на зараженной системе. Такую информацию предоставили эксперты антивирусной компании S21sec.

По словам исследователей, авторы вируса оптимизировали ряд функций, а также добавили несколько новых. Среди прочего, троян получил улучшенный алгоритм шифрования, позволяющий шифровать весь сетевой трафик во время сеанса связи.

В S21sec также отметили, что наиболее важные изменения в трояне были описаны его авторами на одном из подпольных форумов до появления в свободном доступе. «Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры», - следует из сообщения вирусописателей .

По данным экспертов, при заражении системы троян проверяет компьютер на наличие запущенных процессов таких виртуальных сред как VMware, Virtualbox или CWSandbox. Если выясняется, что на системе запущена песочница, троян создает ложный домен и пытается связаться с ним, имитируя отключенный сервер. Если данная проверка прошла удачно Citadel связывается с настоящим удаленным сервером.

Ознакомиться с отчетом исследователей можно здесь.  


comments powered by Disqus