вторник, 22 ноября 2011 г.

Новая модификация Carberp использует буткит-функционал

Недавно  нам удалось обнаружить модификацию троянца Win32/Carberp, который в процессе заражения системы устанавливает буткит-функционал. Причем, после более детального анализа выяснилось, что буткит функциональность практически полностью копирует ранее известного буткита Rovnix.


Carberp, один из самых активных троянцев встречающихся в ДБО инцидентах в этом году. Мы провели небольшое расследование по этой теме помимо буткита, нашли еще много интересного.

Подробное исследование можно найти тут:


А, так же более расширенную версию нашего расследования можно будет услышать на  конференции ZeroNights в ближайшую пятницу в рамках нашего доклада "Современные тенденции развития вредоносных программ для систем ДБО".

2 комментария:

  1. Если верить инсайдерской инфе -- то овнеры Carberp-а в последнее время начали сворачивать свою деятельность, и новых клиентов/партнёров уже не набирают. Видимо, боятся :)

    ОтветитьУдалить
  2. Боятся, но продолжают тестировать новый функционал :) В ноябре количество детектов еще подросло на треть, а ведь это еще не конец месяца даже. Так, что я пока не верю в их сворачиваемость ;)

    ОтветитьУдалить