Рубрика «gapz»

Сегодня мы публикуем последнюю часть анализа буткита Win32/Gapz, а также хотим представить PDF, который содержит анализ этой интересной угрозы со всеми техническими подробностями. На его анализ ушло несколько месяцев интенсивного реверса. В Gapz мы увидели, что разработчики подобного рода угроз вышли на новый уровень сложности. Мы также считаем, что Win32/Gapz, на самом деле, представляет из себя наиболее сложный буткит из всех, что мы видели прежде. Подробный технический анализ этой угрозы вы можете найти в нашем PDF-документе Mind the Gapz: The most complex bootkit ever analyzed?.

Наши коллеги Евгений Родионов и Александр Матросов провели анализ кода Win32/Gapz, начиная с декабря 2012 года. В ходе этого анализа обнаруживалось все больше и больше интересных подробностей об этой угрозе.

Читать полностью »

Power Loader представляет из себя билдер ботов, которые на самом деле являются загрузчиками/даунлоадерами (downloaders) других семейств вредоносных программ. Этот билдер также является еще одним примером схемы, на основе модульности, которая используется в производстве вредоносных программ. Мы обнаружили боты на базе Power Loader в сентябре 2012. ESET определяет как Win32/Agent.UAW не модифицированные дропперы, собранные с помощью этого билдера. Наш коллега Александр Матросов провел собственное расследование и выяснил, что этот билдер был использован для разработки дропперов Win32/Gapz, начиная с октября 2012. В то же время, уже с ноября 2012 вредоносный код, известный как Win32/Redyms, использовал компоненты Power Loader в своем собственном дроппере. Стоимость Power Loader на киберкриминальном российском рынке была в районе $500 за один билдер с панелью управления C&C.
Читать полностью »

В последние несколько лет увеличилось распространение вредоносных программ (буткитов), модифицирующих загрузочные сектора в процессе заражения системы. Среди самых видных представителей — TDL4, Olmasco и Rovnix. Каждый из них использует различные способы заражения жесткого диска, это либо модификация главной загрузочной записи (MBR), либо модификация первых секторов загрузочного раздела, т. е. VBR или IPL (первые сектора тома, куда передается управление из MBR — Volume Boot Record/Initial Program Loader). Наглядно эти семейства показаны на рисунке ниже.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js