no-image

Атака APT-класса Icefog поражает цели в США с помощью Java-бэкдора

В сентябре 2013 года мы опубликовали подготовленный нами подробный анализ кампании таргетированных атак Icefog, направленной против государственных учреждений, военных подрядчиков, операторов связи, судоходных и судостроительных групп. Эта угроза относится к классу APT. Вредоносная программа Icefog, в соответствии правилами именования угроз… Прочитать полный текст статьи

no-image

Flashfake — Mac OS X ботнет

На прошлой неделе компания «Доктор Веб» сообщила об обнаружении ботнета Flashback (Flashfake), состоящего из машин с операционной системой Mac OS X. По данным компании, в состав ботнета входит более полумиллиона зараженных компьютеров Mac. Мы откликнулись на это сообщение анализом новейшего… Прочитать полный текст статьи

no-image

Фреймворк Duqu: задача решена

В поисках решения В предыдущем блогпосте про Фреймворк Duqu я писал про одну из нерешенных нами задач — определение языка, на котором написан необычный код, отвечающий за общение Duqu с C&C серверами. Нам, техническим специалистам, задача показалась очень интересной, и… Прочитать полный текст статьи

no-image

Загадка фреймворка Duqu

В процессе анализа компонентов Duqu мы обнаружили интересную особенность в его основном компоненте, который реализует практически всю его бизнес-логику — в Payload DLL. Мы хотели бы поделиться полученной информацией и попросить о помощи в анализе данных. Расположение кода На первый… Прочитать полный текст статьи

no-image

Stuxnet/Duqu: эволюция драйверов

Два месяца продолжается наше исследование троянца Duqu — истории его появления, ареала распространения и схем работы. Несмотря на громадный объем полученных данных (большую часть которых мы пока не публикуем), у нас все еще нет ответа на главный вопрос – кем… Прочитать полный текст статьи

no-image

Тайна Duqu: часть пятая

Драйвер Драйвер является первым компонентом Duqu, который загружается в систему. По нашим данным, драйвер и другие компоненты этой вредоносной программы устанавливаются с помощью дроппера, использующего 0-day уязвимость (CVE-2011-3402). Драйвер прописывается в реестре по следующему пути: HKLMSystemCurrentControlSetServices. Конкретное имя ключа реестра… Прочитать полный текст статьи

no-image

TDL4 — Top Bot

TDSS использует различные методы обхода сигнатурного, эвристического и проактивного детектирования, применяет методы шифрования при общении бота с командным центром ботнета и обладает мощной руткит-составляющей, которая позволяет скрывать присутствие в системе любых других вредоносных программ. Прочитать полный текст статьи

no-image

Фабрика наживы

Спам Сайты Эксплойты Бот Троянец для кражи паролей Загрузка других вредоносных программ Схема атаки Заключение P.S. Данная статья посвящена результатам исследования одного спам-сообщения, которые демонстрируют, какие методы используют современные злоумышленники для создания ботнетов и проведения спам-рассылок. Эти методы и приемы… Прочитать полный текст статьи