Российские специалисты Центра вирусных исследований и аналитики ESET
выявили новую версию буткита Rovnix, ранее присутствовавшего в составе
троянской программы Carberp, которая позволяет злоумышленникам совершать
атаки на системы дистанционного банковского обслуживания (ДБО) и
опустошать счета как юридических, так и физических лиц.
Rovnix
представляет собой расширяемый инструментарий для построения буткита с
любой полезной нагрузкой для реализации последующих атак. Основной
функционал буткита – создание сети зараженных компьютеров (ботнет),
используя которую можно совершать DDoS-атаки, рассылать спам, а также
загружать любое вредоносное ПО в систему пользователя. В новой
модификации Rovnix была усовершенствована защита от обнаружения
антивирусным ПО и расширен функционал. В частности, теперь Rovnix может
выполнять сразу несколько вредоносных задач в системе, например,
одновременно совершать DDoS-атаки и похищать конфиденциальные данные.
«Rovnix
— это первый буткит, который использовал методику обхода обнаружения со
стороны антивирусных продуктов при помощи модификаций VBR (Volume Boot
Record), — комментирует Александр Матросов, директор Центра вирусных
исследований и аналитики ESET. — Сейчас мы наблюдаем новый виток
развития этого фреймфорка для разработки буткитов. В новой версии
появилась возможность использовать множественную установку вредоносных
компонентов, выполняющихся на уровне пользователя, и хранить их в
скрытой файловой системе, что сильно усложняет криминалистическую
экспертизу».
По данным специалистов ESET, Rovnix активно
продавался в начале прошлого года, и его стоимость составляла 60 тысяч
долларов. Покупка предусматривала и несколько месяцев поддержки со
стороны разработчиков. В составе троянской программы Carberp буткит
Rovnix просуществовал с осени прошлого года до весны текущего, после
чего злоумышленники перешли на схему установки буткит-компонентов по
специальной команде с командного центра.
|
Главная 
