Атака APT-класса Icefog поражает цели в США с помощью Java-бэкдора

В сентябре 2013 года мы опубликовали подготовленный нами подробный анализ кампании таргетированных атак Icefog, направленной против государственных учреждений, военных подрядчиков, операторов связи, судоходных и судостроительных групп. Эта угроза относится к классу APT. Вредоносная программа Icefog, в соответствии правилами именования угроз… Прочитать полный текст статьи

Flashfake — Mac OS X ботнет

На прошлой неделе компания «Доктор Веб» сообщила об обнаружении ботнета Flashback (Flashfake), состоящего из машин с операционной системой Mac OS X. По данным компании, в состав ботнета входит более полумиллиона зараженных компьютеров Mac. Мы откликнулись на это сообщение анализом новейшего… Прочитать полный текст статьи

Фреймворк Duqu: задача решена

В поисках решения В предыдущем блогпосте про Фреймворк Duqu я писал про одну из нерешенных нами задач — определение языка, на котором написан необычный код, отвечающий за общение Duqu с C&C серверами. Нам, техническим специалистам, задача показалась очень интересной, и… Прочитать полный текст статьи

Загадка фреймворка Duqu

В процессе анализа компонентов Duqu мы обнаружили интересную особенность в его основном компоненте, который реализует практически всю его бизнес-логику — в Payload DLL. Мы хотели бы поделиться полученной информацией и попросить о помощи в анализе данных. Расположение кода На первый… Прочитать полный текст статьи

Stuxnet/Duqu: эволюция драйверов

Два месяца продолжается наше исследование троянца Duqu — истории его появления, ареала распространения и схем работы. Несмотря на громадный объем полученных данных (большую часть которых мы пока не публикуем), у нас все еще нет ответа на главный вопрос – кем… Прочитать полный текст статьи

Тайна Duqu: часть пятая

Драйвер Драйвер является первым компонентом Duqu, который загружается в систему. По нашим данным, драйвер и другие компоненты этой вредоносной программы устанавливаются с помощью дроппера, использующего 0-day уязвимость (CVE-2011-3402). Драйвер прописывается в реестре по следующему пути: HKLMSystemCurrentControlSetServices. Конкретное имя ключа реестра… Прочитать полный текст статьи

TDL4 — Top Bot

TDSS использует различные методы обхода сигнатурного, эвристического и проактивного детектирования, применяет методы шифрования при общении бота с командным центром ботнета и обладает мощной руткит-составляющей, которая позволяет скрывать присутствие в системе любых других вредоносных программ. Прочитать полный текст статьи

Фабрика наживы

Спам Сайты Эксплойты Бот Троянец для кражи паролей Загрузка других вредоносных программ Схема атаки Заключение P.S. Данная статья посвящена результатам исследования одного спам-сообщения, которые демонстрируют, какие методы используют современные злоумышленники для создания ботнетов и проведения спам-рассылок. Эти методы и приемы… Прочитать полный текст статьи