You are hereГруппы / Безопасность / Специалисты «Доктор Веб» обнаружили модификацию Flashback

Специалисты «Доктор Веб» обнаружили модификацию Flashback


By yuliya - Posted on 24 ноября 2011

Картинка: 
Доктор Веб,  бэкдор,  троян

В новой версии бэкдора реализована возможность встраивания вредоносных модулей в различные процессы.

Специалисты по информационной безопасности из компании «Доктор Веб» обнаружили новую модификацию вредоноса BackDoor.Flashback. Основным отличием новой версии трояна является реализованная возможность встраивания вредоносных модулей в различные процессы. Как поясняют эксперты, злоумышленники реализовали механизм двумя методами: BackDoor.Flashback.8 проверяет, присутствуют ли в целевом процессе экспортированные функции из модуля dyld, и, в случае их отсутствия, ищет необходимые функции в памяти.

Как и в предыдущих версиях вируса, основным модулем BackDoor.Flashback является бэкдор, который может выполнять команды, поступающие с удаленных серверов злоумышленников, либо хранящиеся в конфигурационном файле. В дополнительный функционал трояна вошел механизм проверки первичных управляющих серверов. Flashback выбирает тот сервер, который возвращает подписанный цифровой подписью SHA1 от собственного имени. Кроме того, троян может использовать в качестве резервного канала сообщения в социальной сети Twitter.

Специалисты также отметили, что, как и прежде, вирус маскируется под пакет установки Adobe Flash Player и рассчитан исключительно на пользователей Mac OS X. Жертве предлагается загрузить и установить архив с файлом FlashPlayer-11-macos.pkg, который после запуска пытается скачать с удаленного сервера основной модуль Flashback. В случае если пользователь не работает с Mac OS X, загрузка архива не выполняется. Кроме того, установщик прекращает работу, если не удается связаться с управляющим сервером.

Специалисты рекомендуют пользователям Mac OS X отключить в настройках браузера функцию автоматического открытия загруженных файлов. Кроме того, не стоит скачивать обновления для Flash-проигрывателя со сторонних ресурсов.

securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 40 гостей.

Последние комментарии