Новая модификация Carberp использует буткит-функционал

Новая модификация Carberp использует буткит-функционал
Недавно  нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix .


Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.

Подробное исследование можно найти тут:


А, так же более расширенную версию нашего расследования можно будет услышать на  конференции ZeroNights в ближайшую пятницу в рамках нашего доклада "Современные тенденции развития вредоносных программ для систем ДБО".
Carberp ZeroNights Bootkits Rovnix Cybercrime VBR Reversing
Alt text

Александр Матросов

REFLECTIONS ABOUT REVERSE ENGINEERING, THREAT RESEARCH AND SOME MORE ...