Целевые кибератаки

Драйвер Драйвер является первым компонентом Duqu, который загружается в систему. По нашим данным, драйвер и другие компоненты этой вредоносной программы устанавливаются с помощью дроппера, использующего 0-day уязвимость (CVE-2011-3402). Драйвер прописывается в реестре по следующему пути: HKLMSystemCurrentControlSetServices. Конкретное имя ключа реестра отличается в разных версиях драйвера Duqu. После загрузки драйвер расшифровывает маленький блок, содержащий ключ реестра

Как мы сообщали ранее, в последнее время мы вели исследование ряда инцидентов, связанных с заражением троянцем Duqu. Нам удалось значительно продвинуться в понимании истории Duqu и собрать еще несколько отсутствующих компонентов, без которых понимание происходящего было затруднено. Прежде всего мы бы хотели выразить огромную благодарность специалистам CERT Sudan. Они оказали неоценимую помощь в нашем расследовании

Прежде всего я должен сообщить об ошибке, допущенной в прошлом тексте. При анализе 4-го инцидента в Иране мы констатировали факт двух сетевых атак на машину жертвы с IP-адреса 63.87.255.149. Это могло бы стать отличной версией происхождения Duqu, но оказалось потрясающей ошибкой. Судите сами – Duqu в своей работе проверяет наличие подключения к интернету и пытается

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличии от массового распространения, как это было в ситуации с Stuxnet, Duqu атакует

Дроппер несет в своей ресурсной таблице пять других файлов, так что всего компонентов шесть, и каждый решает свои задачи, каждую из которых мы внимательно изучили.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев

— Что представляет собой Duqu и какое отношение он имеет к Stuxnet? Duqu — сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель — действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также

Trend Micro предупреждает о новой волне целевых атак, мотивом которых, по всем приметам, является кибершпионаж. Основными мишенями злоумышленников являются ключевые институты России и стран СНГ, включая дипломатические миссии, министерства, космические агентства и тому подобные организации. Исследователи насчитали свыше 300 таких инцидентов с участием даунлоудера Lurid, он же Enfal. Это троянское семейство известно с давних пор,

История вокруг червя Stuxnet в последние дни освещалась всеми средствами массовой информации много и по-разному. Слова «Иран», «атомная станция в Бушере» и «кибероружие» уже неразрывно связаны с Stuxnet. Одним из основных пунктов «иранской» теории называется то, что Иран является эпицентром эпидемии – в нем отмечено наибольшее количество зараженных компьютеров. Но дело в том, что любые

Червь Stuxnet на протяжении последних недель продолжает оставаться любимым объектом исследования со стороны антивирусных компаний. Наша серия публикаций о нем сопровождала громадный объем исследовательской работы, которую проводили и наши специалисты. Одним из результатов этой работы стало обнаружение еще нескольких zero-day уязвимостей в Windows, использованной в Stuxnet. Верно, еще нескольких. До сих пор основное внимание привлекала

До сих пор в наших публикациях о Stuxnet мы не освещали основной функционал этого червя, концентрируясь в первую очередь на гораздо более опасных для всех пользователей проблемах – с zero-day уязвимостью в обработке LNK-файлов и сертификатами в руках злоумышенников. Впрочем, те кто интересуется этой историей, наверняка уже читали сообщения о том, что червь (помимо размножения)

Несколько дней назад мы писали об обнаружении нового варианта руткит-компоненты червя Stuxnet, которая имела цифровую подпись не Realtek, а компании JMicron. Костин Раю в двух своих постах осветил эту ситуацию детально. Средства массовой информации быстро подхватили новость, и интернет запестрел сообщениями в стиле «Обнаружен новый вариант червя». Однако все было не так просто. Дело в

Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании – производителю компьютерного оборудования JMicron Technology Corp. Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах. Слышал, что Microsoft и Verisign аннулировали похищенный сертификат

Вчера нашими коллегами из ESET была обнаружена новая версия Stuxnet. У этой вредоносной программы драйвер был подписан еще одной доверенной стороной — корпорацией JMicron Technology. Компания JMicron является достаточно известным производителем аппаратного обеспечения, и у меня самого было три-четыре компьютера с компонентами JMicron. Первый RT-сертификат вызывал подозрение, однако еще один украденный сертификат вызывает ряд интересных

География распространения загадочного Stuxnet примечательна не меньше, чем он сам. Мы детектируем руткит-компоненты (подписанные драйвера) как Rootkit.Win32.Stuxnet, а прочие файлы как Trojan-Dropper.Win32.Stuxnet. За последние 4 дня система Kaspersky Securty Network зафиксировала более 16 000 пользователей по всему миру, на компьютерах которых были обнаружены компоненты троянца (которого на самом деле следует считать червем – из-за распространения