Kanały RSS
Poziom zagrożenia: 1
Dmitrij Tarakanow
|
13 grudnia 2013 Spełniło się nieuchronne – pojawił się 64-bitowy ZeuS z możliwością komunikacji za pośrednictwem sieci Tor Dmitrij Tarakanow 25 kwietnia 2013 Pułapka na grupę Winnti – wabienie intruzów Dmitrij Tarakanow 25 kwietnia 2013 Zasadzka na rodowitych Koreańczyków Dmitrij Tarakanow 24 kwietnia 2013 Winnti powraca z PlugX Dmitrij Tarakanow 30 listopada 2012 PlugX: złośliwe narzędzie zdalnej administracji Dmitrij Tarakanow 11 października 2012 Ukryte szczegóły na temat szkodliwego oprogramowania rozprzestrzenianego ostatnio za pośrednictwem Skype'a Dmitrij Tarakanow 20 września 2012 Shamoon The Wiper (część II) Dmitrij Tarakanow |
W mediach pojawiły się liczne doniesienia o tym, że Shamoon - szkodnik czyszczący dane, o którym pisaliśmy wcześniej - ma związek z atakami na Saudi Aramco. Data zaszyta na sztywno w ciele destruktora pokrywa się z datą ataków na firmę Saudi Aramco deklarowanych przez grupę hakerów, jednak odpowiedzialności za nie nadal nie można definitywnie przypisać temu szkodnikowi.
Około dwóch tygodni po incydencie inna firma z sektora energetycznego na Bliskim Wschodzie (RasGas) padła ofiarą kolejnego ataku szkodliwego oprogramowania i w mediach naturalnie pojawiły się spekulacje, czy za nimi również stoi Shamoon.
Pozostawiając spekulacje innym, skupimy się na przedstawieniu danych technicznych. Tekst ten stanowi kontynuację naszej analizy Shamoona.
NETINIT.EXE
Główny moduł Shamoona posiada zasób PKCS7:113 przechowujący plik wykonywalny, który jest zapisywany na dysku jako %WINDIR%\System32\NETINIT.EXE i program ten wydaje...
Analizy
Blog
Zagnieżdżenie próbek
Główny plik wykonywalny (dropper) zawiera 3 zasoby, z których każdy utrzymuje zaszyfrowany program. Szyfr jest dość prosty - XOR wyrażony przez dword. Wspominaliśmy o tym w naszym pierwszym poście.
Zasób PKCS12:112 przechowuje zakodowany plik wykonywalny, poddany operacji XOR z wartością klucza 0xFB5D7F25. Jest on zapisywany na dysku przy użyciu nazwy pobieranej z zaszytej w kodzie na sztywno listy w folderze %WINDIR%\System32 podczas wykonywania droppera. Z kolei ten moduł zawiera zasób READONE :101 (klucz XOR: 0xF052AF15), sterownik zakodowywany i zapisywany na dyskach jako %WINDIR%\System32\Drivers\DRDISK.SYS.
Zasób PKCS7:113 zawiera plik wykonywalny, poddany operacji XOR z kluczem 0x00BAD417 i zapisywanym na dysku jako...
Analizy
Blog
Spam
20 marca wykryliśmy kampanię spamową, której celem byli pasażerowie US Airways. Prawie przez cały tydzień cyberprzestępcy wysyłali użytkownikom następujący e-mail, rzekomo pochodzący od US Airways:
...
Analizy
Blog
Sekcja kodu SpyEye identyczna do kodu ZeuSa
Po tym, jak ZeuS przeszedł do nowego właściciela, nie spodziewaliśmy się pojawienia się jego nowych modyfikacji. Naturalnie, wciąż odnotowujemy stały strumień próbek ZeuSa, jednak prawie wszystkie z nich to dobrze znane wersje tego szkodliwego programu. Nowe warianty powstają zwykle w wyniku przeprojektowania szkodnika, co przy użyciu tzw. zestawów do budowy ZeuSa wymaga niewielkiego wysiłku. Jednak od czasu do czasu trafiam na dość nietypowe warianty tego trojana i mam powody, aby...
Na pierwszy rzut oka system ten wydaje się całkiem szczelny. Nawet jeśli cyberprzestępca ukradnie tożsamość użytkownika wykorzystywaną w bankowości online, nie będzie...
©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.