В прошлом месяце нами была зафиксирована новая модификация буткита Rovnix (VBR-буткита). Rovnix это фреймворк для создания буткитов, который уже был задействован в банковском троянце Carberp. Он состоит из двух основных компонентов, это динамическая библиотека инсталятор BkSetup.dll и драйвер, который загружается в процессе выполнения буткит-кода и внедряет полезную нагрузку в указанные процессы.
В новой версии появились изменения связанные с противодействиям обнаружению, так например изменилась схема полиморфных преобразований, которые реализуют расшифрование вредоносного кода VBR.
Подробнее обо всех изменениях читайте в моем англоязычном
блоге.
