Новый виток развития VBR-буткита Rovnix

Новый виток развития VBR-буткита Rovnix
В начале февраля мы столкнулись с новой модификацией уже хорошо знакомого нам семейства Win32/Rovnix , которое продолжило развитие VBR-буткитов. По сути Rovnix, это единственное семейство инфицирующие VBR и получившее широкое распространение (ну разве, что Olmasco еще использует VBR, но совсем по другому). Буткит фреймворк Rovnix был так же использован в качестве платформы для буткит части известного банковского троянца Carberp . Больше информации о семействе Win32/Carberp можно будет узнать из нашего доклада “Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon”, который планируется сделать на конференции CARO 2012 .
В процессе анализа распакованного дропера Win32/Rovnix.B, нами были замечены интересные строковые константы и отладочные сообщения:


Примерно такие же строки можно было найти и в дропере Carberp с буткитом, только были некоторые отличия в идентификаторе версии установщика. У Rovnix мы видим версию 2.5, а у Carberp версию 2.1

Дальше »
Rootkits Bootkits Rovnix Cybercrime VBR Antiforensics Reversing System Internals CARO
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Александр Матросов

REFLECTIONS ABOUT REVERSE ENGINEERING, THREAT RESEARCH AND SOME MORE ...