Новый коварный вирус (Исследование)

Защищаем свой компьютер от атак с сети, цифровых носителей. Программы для защиты и лечения компьютера и решение возникших проблем с ними.
Аватара пользователя
Slash
Администратор
Сообщения: 2028
Поблагодарили: 62 раза

Новый коварный вирус (Исследование)

Сообщение Slash » Сб май 16, 2015 4:48 pm

Разработчики систем защиты и хакеры постоянно пытаются обхитрить друг друга. Современные инструменты анализа заметно усложнили жизнь атакующих – сегодня довольно сложно проникнуть в систему, оставшись незамеченным. Злоумышленники, в свою очередь, активно внедряют схемы вторжения, которые максимально усложняют анализ.

Последним ярким образцом вируса данного класса является программа Rombertik, которую специалисты Cisco отнесли к категории malware. Обратная инженерия программного кода показала, что в приложении используется несколько слоев маскировки. Анализ кода (статический и динамический) был трудно выполнимым – вирус при обнаружении разрушает запись MBR.

Изучение нового вируса позволило специалистам лучше понять, как компьютерные злоумышленники совершенствуют свои инструменты для усложнения обнаружения и анализа. Компания Cisco уверена, что результаты исследования Rombertik позволит в дальнейшем улучшить выпускаемые продукты.

Новый вирус представляет собой сложную программу, которая внедряется в обозреватель и похищает персональные данные. В отличие от утилиты Dyre, которая специализируется на краже банковской информации, Rombertik передает все без разбора. Внедрение в систему происходит обычно при помощи методов социальной инженерии.

Специалисты отметили, что программа довольно коварна. Вирус постоянно проверяет, не обнаружили ли ее защитные программы. Если все в порядке, она продолжает шпионить за владельцем устройства. В случае обнаружения вируса, он делает попытки разрушить MBR и перезагрузить ПК. Если это не удается, вредоносное приложение шифрует каталог с документами, что делает его недоступным.

После распаковки Rombertik имеет вес всего 28 Кбайт. При этом изначальный архив занимает 1264 Кбайт. Эта особенность предназначена для запутывания инструментов для анализа, поскольку 97% программного кода похожи на безвредный файл. Это усложняет выявление вредоносных сигнатур.

Специалисты отметили, что, несмотря на сложность и необычное поведение нового вируса, применение элементарных правил безопасности значительно снижает риск заражения. В первую очередь рекомендуется не загружать подозрительные вложения к электронным письмам.
Реклама

Вернуться в «Защита и лечение»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость