Семейство троянов Zbot инфицирует только некоторые системы

image

Теги: Zbot, троян, компьютер

Вредоносные программы нацелены на системы с идентификатором CLSID, который аналогичен их идентификатору.

 

Специалисты компании AVG проанализировали один из образцов семейства троянов Zbot. Эксперты установили, что вредоносная программа использует идентификатор CLSID в качестве проверки защиты для того, чтобы не позволить себя анализировать.

Исследователям удалось запустить образец семейства Zbot на реальном компьютере и выяснить, что перед тем, как начинать свою деятельность, вредоносная программа дважды загружает данные, а затем расшифровывает их и сравнивает определенные байты с другими данными, полученными с локальной машины.

В результате анализа эксперты установили, что выбранный ими образец Zbot заражает системы с идентификатором CLSID, который аналогичен идентификатору вредоносной программы.

Если идентификаторы CLSID совпадают, вредоносная программа начинает свою работу. В настоящее время точно неизвестно, каким образом троян получает идентификатор CLSID целевой системы. Возможно, это происходит во время первой инициализации образца вредоносной программы и его последующей модификации, или во время соединения зараженной машины с командным сервером.

Обнаруженный AVG файл идентифицируется как троян Generic31.ASUA.

MD5 hash: a2a6fb6d26f3d70da25dbcaac05fc894


или введите имя

CAPTCHA
лол
12-04-2013 18:22:31
нифига не знают, а новость написали...
0 |
Некто
14-04-2013 15:47:24
Какой CLSID ? Что это еще за CLSID без указания ?? их в системе много, что за бред вообще ?? Где подробности ??? я так понимаю тут речь идет о dll hijacking. Тогда где подробности, статья не очем без указания этого всего.
0 |
/dev/null
14-04-2013 21:16:55
Почитать ссылку на языке первоисточнике - не наш метод? Она, правда, сейчас недоступна, но Вы пытайтесь, возможно, перегружена.
0 |
Некто
14-04-2013 15:49:36
Верните технических редакторов обратно на этот сайт, такой сайт был хороший а теперь несколько лет желтая пресса прям, я с уважением отношусь к специалистам из positive technologies, но то что тут твориться смахивает на стати уроня МК
0 |
Владислав
14-04-2013 22:35:44
Все ж просто - первоначально троян попадает в память. Там он считывает характеристики жертвы. Потом соединяется с командным сервером, передает данные, там ему под эти данные готовят персональный шифрованный модуль, который перекачивается с сети и сохраняется в виде EXE на диск. Потом модуль запускается, при этом в нем заново по характеристикам компа вычисляется ключ расшифровки (т.е. EXE запустится только на конкретной машине, что препятствует его анализу господами Кастратскими и прочей шушерой). В самом модуле нет ключа для дешифрации. Если EXE переписан на другую машину, то ключ расшифровки будет неверный, модуль не сможет раскодироваться и активизироваться. Минус данного подхода - требуется иметь мощный командный сервер ! или переложить процедуру генерации персональных шифрованных EXE на плечи уже зараженной бот сети. PS. Могу за $ доводить до ума технический понос "специалистов"-переводчиков mVlad@nm.ru
0 |
44558
15-04-2013 05:09:45
Спасибо, Вы спасли статью.
0 |
/dev/null
15-04-2013 08:16:18
Предложите свои услуги переводчика Некту. Ему, судя по высказываниям, крайне необходима нянька, которая за него переведет информацию с английского языка из источника, указанного в первой же ссылке и положит ему, болезному, в рот. Чтобы ему осталось только жевать.
0 |