Не так давно я уже писал о новой модификации буткита Rovnix.D. Наш дальнейший анализ показал, что есть еще интересные детали, которые остались за рамками предыдущего поста. В первую очередь хочется отметить механизм множественных инжектов пейлоада, что раньше не было замечено в этом семействе буткитов. Механизм множественного внедрения кода позволяет на одной зараженной машине устанавливать несколько полезных нагрузок одновременно и внедрять их в разные пользовательские процессы. Причем, все полезные нагрузки будут храниться в скрытом файловом хранилище. Такой подход открывает злоумышленникам большие возможности по сдаче такого ботнета в аренду и при этом сохраняя контроль на инфицированной машиной при помощи вредоносного драйвера.
Сейчас у нас нет данных о существовании большой ботсети на основе Rovnix.D, а в тестовой C&C насчитывается около 9000 активных ботов.