Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Эксперты "Лаборатории Касперского" обнаружили "старый" Miniduke

Эксперты "Лаборатории Касперского" обнаружили "старый" Miniduke

Эксперты "Лаборатории Касперского" обнаружили "старый" Miniduke


04.07.2014



Miniduke или CosmicDuke использует для запуска собственный мини-сервис или Планировщик Заданий ОС Windows.

Эксперты "Лаборатории Касперского"  зафиксировали  возвращение вредоносного ПО под названием Miniduke. Специалисты обнаружили бэкдор еще в 2013 году, сообщая об атаке вредоносного ПО на компьютерные системы правительственных органов. Предполагалось, что вредоносное ПО осуществляло атаки с начала 2000-х годов.

Злоумышленники после длительного периода времени снова вернулись в киберпространство. Вирусописатели "старой школы" умеют разрабатывать изощренные вирусы. Сейчас злоумышленники применили свои знания, чтобы создать обновленную версию забытого вредоносного ПО и осуществить атаку на государственные и научно-исследовательские организации в ряде стран.

 Обновленный Miniduke, известный под названием CosmikDuke, может похищать большое количество информации. Бэкдор маскируется под известные приложения, используя оригинальные иконки официальных программ, их описание, а также оригинальные имена файлов. Для того чтобы лучше замаскировать CosmicDuke под официальное ПО, злоумышленники искусственно увеличили его размер.

Miniduke или CosmicDuke использует для запуска собственный мини-сервис или Планировщик Заданий ОС Windows. Даже если пользователь не работает за компьютером, бэкдор может запуститься при помощи системы активации скринсейвера. Вредоносное ПО может похищать информацию файлов с таким расширением: .exe, .ndb, .mp3, .avi, .rar, .docx, .url, .xlsx, .pptx, .ppsx, .pst, .ost, .psw, .pass, .login, .admin, .sifr, .sifer, .vpn, .jpg, .txt, .lnk, .dll, .obj, .ocx, .js.

CosmicDuke использует алгоритм кодирования аналогичный более ранним версия трояна, однако, формат сообщения с адресом центра управления изменился. Троянец применяет особый обфускатор, а также имеет большой размер файла. Вредоносное ПО запускает два модуля, один из которых полученный с центра управления.

CosmicDuke защищен специальным обфусцированым загрузчиком, который дает большую нагрузку на процессор устройства в течении 3-5 минут, чтобы выполнить основной код. Такая схема работы троянца утяжеляет процесс его обнаружения антивирусным ПО. Наибольшее количество случаев инфицирования троянцем CosmicDuke зафиксировано в Грузии, России, а также США.

Подробнее: http://www.securitylab.ru/news/454724.php

Источник:
securitylab.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"