Целевые кибератаки

До сих пор в наших публикациях о Stuxnet мы не освещали основной функционал этого червя, концентрируясь в первую очередь на гораздо более опасных для всех пользователей проблемах – с zero-day уязвимостью в обработке LNK-файлов и сертификатами в руках злоумышенников. Впрочем, те кто интересуется этой историей, наверняка уже читали сообщения о том, что червь (помимо размножения)

Несколько дней назад мы писали об обнаружении нового варианта руткит-компоненты червя Stuxnet, которая имела цифровую подпись не Realtek, а компании JMicron. Костин Раю в двух своих постах осветил эту ситуацию детально. Средства массовой информации быстро подхватили новость, и интернет запестрел сообщениями в стиле «Обнаружен новый вариант червя». Однако все было не так просто. Дело в

Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании – производителю компьютерного оборудования JMicron Technology Corp. Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах. Слышал, что Microsoft и Verisign аннулировали похищенный сертификат

Вчера нашими коллегами из ESET была обнаружена новая версия Stuxnet. У этой вредоносной программы драйвер был подписан еще одной доверенной стороной — корпорацией JMicron Technology. Компания JMicron является достаточно известным производителем аппаратного обеспечения, и у меня самого было три-четыре компьютера с компонентами JMicron. Первый RT-сертификат вызывал подозрение, однако еще один украденный сертификат вызывает ряд интересных

География распространения загадочного Stuxnet примечательна не меньше, чем он сам. Мы детектируем руткит-компоненты (подписанные драйвера) как Rootkit.Win32.Stuxnet, а прочие файлы как Trojan-Dropper.Win32.Stuxnet. За последние 4 дня система Kaspersky Securty Network зафиксировала более 16 000 пользователей по всему миру, на компьютерах которых были обнаружены компоненты троянца (которого на самом деле следует считать червем – из-за распространения

Продолжаем забираться в ботанические дебри. В этом посте о троянце Stuxnet посмотрим на вторую его особенность – цифровую подпись. Вредоносные программы с цифровыми подписями – это страшный сон для разработчиков антивирусных компаний. На подписи завязано многое, они служат признаком легальности (неоспоримым) приложения, лежат в основе концепций информационной защиты и составляют важное звено эффективности антивирусных продуктов.

Несколько дней назад коллеги из белорусской антивирусной компании VirusBlokAda (VBA) сообщили об обнаружении новой интересной вредоносной программы. Также ими был опубликован небольшой анализ c выводом о наличии двух заметных «инноваций» в данной программе 1. Использован ранее не применявшийся способ запуска файлов со съемных USB-накопителей при помощи LNK-файлов. 2. Вредоносные драйверы обладают легальной цифровой подписью компании

Что предпринимает современные киберпреступники для противодействия IT-Security-компаниям, кто и как сможет повлиять на криминал в обозримом будущем.

Вскоре после того, как я написал предыдущий постинг, мы получили первый образец нового любопытного троянца. Оказалось, что это очередная новинка — первый банковский троянец, созданный специально для кражи информации голландского банка (в числе прочих банков, разумеется). Банк De Postbank ранее уже становился целью фишинг-атак, поскольку это последний крупный банк страны, все еще использующий TAN-коды. Прошло

За последнюю пару дней в прессе часто говорили о своеобразном троянце-рутките под названием Hearse. Наш антивирус детектирует эту вредоносную программу как Trojan-Spy.Win32.Goldun.im. Это дальнейшее развитие Trojan-Spy.Win32.Goldun.hp, в которую была включена руткит-составляющая. Вот скриншот детектирования этого троянца KAV6, которая в данный момент находится в статусе Release Candidate: Хоть Goldun.im и привлек широкое внимание прессы, подобные вредоносные