Невидимка Turla под микроскопом

Компания AVG опубликовала подробное исследование новой версии программы-невидимки Turla, которая по заявлениям компании была недавно обнаружена в "живой природе". Для проникновения на компьютеры вредонос использует достаточно старые уязвимости MS09-025 и MS10-015, которые, видимо, всё ещё актуальны. У невидимки есть две части - ядерная и пользовательская. Часть вредоносного кода, которая устанавливается в ядро операционной системы, уже достаточно хорошо изучена другими компаниями, поэтому эксперты AVG решили проанализировать ту часть, которая работает в пространстве пользователя.

Оказалось, что она написана на Java, что и позволило её очень хорошо изучить. Конечно, все возможности вредоноса описать затруднительно, поскольку он содержит более тысячи различных функций, тем не менее наиболее интересные функции с фрагментами кодов содержатся в отчёте компании. Аналитики заметили одну особенность - в одном окне пользовательской части установлена российская кириллическая кодировка символов, хотя самого текста на русском в окне нет. Все остальные окна на английском. Из этого можно предположить, что как минимум некоторая часть разработки велась российскими программистами.

Программы-невидимки традиционно используются для кибершпионажа или целевых атак, скрывая достаточно долго другой функционал от средств защиты. Выловить их стандартными средствами защиты, такими как антивирусы и межсетевые экраны, достаточно сложно - лучше пользоваться специальными инструментами для обнаружения целенаправленных атак, которые могут в том числе и обнаружить следы действия подобных программ-невидимок.

Оцените материал:
Total votes: 158
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.