GData обнаружила новый про-российский вредоносный код

1/03/2014 12:26

Немецкая антивирусная компания G Data Security утверждает, что российские власти стоят за созданием нового вредоносного кода Uroburos. В G Data утверждают, что вредонос имеет российские корни, во-первых, из-за сложного кода, традиционного для про-российских кодов, во-вторых, здесь есть некоторые элементы исходников, которые прежде уже использовались российскими «госхакерами», а в-третьих, в исходном коде Uroburos есть комментарии на русском языке. Антивирусная компания утверждает, что автор кода использует криптографические ключи и логику поведения, схожие с теми, что ранее использовались российскими вредоносными кодами. Кроме того, в процессе работы Uroburos ищет на целевых системах другое вредоносное ПО, имеющее российские про-государственные корни. «Было установлено, что Uroburus занимается поиском в системе кода Agent.BTZ и может работать с ним в паре», - говорят в G Data. Напомним, что Agent.BTZ представляет собой вредоносный код, созданный в 2008 году для атаки ИТ-систем Пентагона. В четверг на этой неделе на конференции TrustyCon известный антивирусный специалист Микко Хиппонен из компании F-Secure, представил доклад, в котором заявил, что на сегодня в реальности немногие страны на государственном уровне финансируют создание вредоносного программного обеспечения, в том числе Россия и США. «Еще 10 лет назад такое казалось бы научной фантастикой», - говорит Хиппонен. Наиболее известным «гос-вирусом» на сегодня считается Stuxnet, направленный на атаку иранских ядерных объектов. Считается, что за данным кодом стоит совместная группа программистов из США и Израиля, создавшая код на правительственные деньги. Что касается Uroburos, то этот код представляет собой руткит из двух файлов. Он использует ряд технологий, затрудняющих его обнаружение в зараженной системе. Здесь присутствует специализированный драйвер и виртуальная файловая система, которые позволяют вредоносу исполнять удаленные команды оператора, скрывать системную активность на пораженном компьютере и выполнять другие действия. Кроме того, вредонос обладает довольно гибкой модульной архитектурой, которая позволяет добавлять и удалять модули под нужды конкретной кампании. В G Data говорят, что Uroburos - это один из самых продвинутых руткитов, и хотя он берет свое начало еще в 2011 году, его код довольно сложен даже по нынешним меркам. Так, код попав на компьютер с интернет-подключением может по цепочке заражать компьютеры, которые не имеют такого подключения и проникать в изолированные системы. Помимо этого, код указывает на существование версий для 32- и 64-битных архитектур. Также антивирусная компания отмечает, что пока она не завершила анализ кода и продолжает наблюдать за ситуацией.
Источник