В начале февраля мы столкнулисьс новой модификацией уже хорошо знакомого нам семейства Win32/Rovnix, которое продолжило развитие VBR-буткитов. По сути Rovnix, это единственное семейство инфицирующие VBR и получившее широкое распространение (ну разве, что Olmascoеще использует VBR, но совсем по другому). Буткит фреймворк Rovnix был так же использован в качестве платформы для буткит части известного банковского троянца Carberp. Больше информации о семействе Win32/Carberp можно будет узнать из нашего доклада “Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon”, который планируется сделать на конференции CARO 2012.
В процессе анализа распакованного дропера Win32/Rovnix.B, нами были замечены интересные строковые константы и отладочные сообщения:
Примерно такие же строки можно было найти и в дропере Carberp с буткитом, только были некоторые отличия в идентификаторе версии установщика. У Rovnix мы видим версию 2.5, а у Carberp версию 2.1
