Бесплатно Экспресс-аудит сайта:

05.07.2014

Эксперты "Лаборатории Касперского" обнаружили "старый" Miniduke

Эксперты «Лаборатории Касперского»  зафиксировали  возвращение вредоносного ПО под названием Miniduke. Специалисты обнаружили бэкдор еще в 2013 году, сообщая об атаке вредоносного ПО на компьютерные системы правительственных органов. Предполагалось, что вредоносное ПО осуществляло атаки с начала 2000-х годов. 

Злоумышленники после длительного периода времени снова вернулись в киберпространство. Вирусописатели "старой школы" умеют разрабатывать изощренные вирусы. Сейчас злоумышленники применили свои знания, чтобы создать обновленную версию забытого вредоносного ПО и осуществить атаку на государственные и научно-исследовательские организации в ряде стран. 

Обновленный Miniduke, известный под названием CosmikDuke, может похищать большое количество информации. Бэкдор маскируется под известные приложения, используя оригинальные иконки официальных программ, их описание, а также оригинальные имена файлов. Для того чтобы лучше замаскировать CosmicDuke под официальное ПО, злоумышленники искусственно увеличили его размер.

Miniduke или CosmicDuke использует для запуска собственный мини-сервис или Планировщик Заданий ОС Windows. Даже если пользователь не работает за компьютером, бэкдор может запуститься при помощи системы активации скринсейвера. Вредоносное ПО может похищать информацию файлов с таким расширением: .exe, .ndb, .mp3, .avi, .rar, .docx, .url, .xlsx, .pptx, .ppsx, .pst, .ost, .psw, .pass, .login, .admin, .sifr, .sifer, .vpn, .jpg, .txt, .lnk, .dll, .obj, .ocx, .js.

CosmicDuke использует алгоритм кодирования аналогичный более ранним версия трояна, однако, формат сообщения с адресом центра управления изменился. Троянец применяет особый обфускатор, а также имеет большой размер файла. Вредоносное ПО запускает два модуля, один из которых полученный с центра управления. 

CosmicDuke защищен специальным обфусцированым загрузчиком, который дает большую нагрузку на процессор устройства в течении 3-5 минут, чтобы выполнить основной код. Такая схема работы троянца утяжеляет процесс его обнаружения антивирусным ПО. Наибольшее количество случаев инфицирования троянцем CosmicDuke зафиксировано в Грузии, России, а также США.