ЛК: Вирус 0zapftis получил сертификат доверия

Исследователь «Лаборатории Касперского» Тильманн Вернер (Tillmann Werner) опубликовал в блоге компании подробную информацию о троянской программе, используемой правительством Германии для слежки за гражданами. Напомним, что на прошлой неделе группа хакеров Chaos Computer Club (CCC) представила аналитический отчет, в котором заявила, что немецкая полиция использует троянскую программу для слежки за подозреваемыми.

Через некоторое время после публикации CCC, компания F-Secure заявила о том, что на портал VirusTotal.com был выгружен загрузчик вируса, получившего название 0zapftis. Запросив от сотрудников F-Secure хэш вредоносного файла, специалисты ЛК нашли его в своей базе и провели тщательное исследование.

Исследователям удалось установить, что загрузчик содержит пять компонентов, каждый из которых несет собственный функционал. Сотрудников ЛК удалось выяснить, что вредоносная программа способна вируса поражать как 32-битные, так и 64-битные Windows платформы. Также шпионская программа следит за деятельностью довольно широкого спектра программ. Среди этих программ находятся все популярные браузеры и IM-клиенты. Вот полный список процессов, компрометируемых вирусом 0zapftis:

• explorer.exe
• firefox.exe
• icqlite.exe
• lowratevoip.exe
• msnmsgr.exe
• opera.exe
• paltalk.exe
• simplite-icq-aim.exe
• simppro.exe
• sipgatexlite.exe
• skype.exe
• skypepm.exe
• voipbuster.exe
• x-lite.exe
• yahoomessenger.exe

Отметим, что для успешной работы вирус должен установить виртуальное устройство в режиме ядра. В случае с 64-битной версией Windows, при установке усстройства система запрашивает цифровую подпись сертификата доверия. Устанавливаемый загрузчиком 0zapftis драйвер содержит 1024 битный RSA сертификат, сгенерированный компанией Goose 11 апреля 2010 года.

Подробную информацию об исследовании сотрудников «Лаборатории Касперского» можно просмотреть здесь.