Недавно нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix.
Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.
Подробное исследование можно найти тут:
А, так же более расширенную версию нашего расследования можно будет услышать на конференции ZeroNights в ближайшую пятницу в рамках нашего доклада "Современные тенденции развития вредоносных программ для систем ДБО".
Если верить инсайдерской инфе -- то овнеры Carberp-а в последнее время начали сворачивать свою деятельность, и новых клиентов/партнёров уже не набирают. Видимо, боятся :)
ОтветитьУдалитьБоятся, но продолжают тестировать новый функционал :) В ноябре количество детектов еще подросло на треть, а ведь это еще не конец месяца даже. Так, что я пока не верю в их сворачиваемость ;)
ОтветитьУдалить