G Data: Обнаружен троян, разработанный авторами Snake и Agent.BTZ

image

Теги: G Data, исследование, отчет, Snake

По утверждениям экспертов, новая версия вредоноса гораздо опаснее всех остальных.

Исследователи из G Data обнаружили новый троян, позволяющий хакеру получить удаленный доступ к зараженному устройству. Вирус предположительно разработан авторами Snake. Проанализировав новый вредонос, получивший название ComRAT, эксперты пришли к выводу, что он является наследником известного вируса Agent.BTZ, с помощью которого в 2008 году были взломаны компьютеры Минобороны США. Несмотря на то, что многочисленные аспекты кампании по кибершпионажу Snake были раскрыты экспертами во всем мире, существование ComRAT свидетельствует о том, что операция до сих пор находится в активной стадии.

Эксперты обнаружили два варианта ComRAT: 3.25 и 3.26. В версии 3.25 используется такой же ключ кодировки и имя лог-файла установки, как и в Agent.BTZ и Snake. В версии 3.26 разработчики попытались скрыть связь между ComRAT и Agent.BTZ, а также увеличили сложность анализа угрозы.

Вдобавок к использованию одинакового ключа кодировки и одинаковым именам лог-файлов установки, существуют и другие связи между Snake, ComRAT и Agent.BTZ. Вредоносы используют одинаковые C&C-сервера, а фрагменты кода ComRAT напрямую скопированы из Snake и Agent.BTZ. Именно это и позволило экспертам идентифицировать новый троян как модификацию Snake.

Наиболее значительное отличие между ComRAT и Agent.BTZ заключается в их дизайне. Специалисты G Data говорят, что ComRAT гораздо более опасен, чем Agent.BTZ. По их словам, вредонос загружается в каждый процесс на инфицированной машине, но его пэйлоад исполняется исключительно в рамках процесса explorer.exe. C&C-трафик встраивается в браузерный трафик, что значительно осложняет обнаружение вируса. Об этом говорит эксперт G Data Пол Расканьер.

По данным G Data, версия 3.25 была скомпилирована в феврале 2014 года. Более новая версия (3.26) выглядит так, будто ее создали в январе 2013 года, но исследователи уверены, что дата была сфабрикована.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.