Экспертами из области безопасности, работающими в компании S21sec, недавно был обнаружен модифицированный троян, который получил название "Цитадель". Помимо своих привычных вредоносных функций, он обладает улучшенным алгоритмом шифрования и функцией поиска наличия активированных виртуальных сред, таких как, например, песочницы.
Как рассказывают специалисты, самое интересное в этом трояне то, что среди добавленных функций присутствует так называемый антиэмулятор. После попадания на компьютер вирус начинает сканировать его на наличие функционирующих на текущий момент виртуальных сред. Если подобный процесс запущен, то программа создаёт лже-домен и предпринимает попытки установить с ним контакт. Эксперты отметили, что таким образом исследователей хотели направить по обманному пути, сымитировав отключённый сервер. А если результат проверки оказывается отрицательным, то троян начинает устанавливать связь уже с реальными удалёнными серверами.
Плюс ко всему прочему, авторы данной модификации трояна "Цитадель" снабдили своё творение ещё и усовершенствованным алгоритмом шифрования. С помощью изменённого RC4 во время проведения сеанса связи весь сетевой трафик шифруется. Создатели также учли тот факт, что у данного алгоритма имеются уязвимости, а потому решили добавить к нему ещё и внутренний хэш.
Исследователи рассказывают, что в процессе шифрования потока данных кроме привычных операций сложения в алгоритме RC 4, во время каждой последующей интеграции к полученным значениям добавляются последовательно ещё дополнительные символы, которые также удалось вычислить при помощи XOR функции.
Если говорить другими словами, то суть внутреннего шифрования заключается в том, что к основным значениям XOR операции добавляются дополнительная последовательность из чисел, которая, в свою очередь, также проходила через XOR процесс.
В итоге эксперты пришли к выводу, что обновлённая и модифицированная версия трояна не будет аналогией предыдущим версиям, а потому соединение с ними поддерживать не будет. Специалисты продолжают подробное исследование этого вирусного продукта.
- 30.06.2012 01:09Студент
- Регистрация: 22.02.2012
- Сообщений: 67
- Репутация: 287
- 2
Тэги топика:
Похожие темы
| Темы | Раздел | Ответов | Последний пост |
|---|---|---|---|
Троян в плагине для wordpress | WordPress | 4 | 22.03.2012 19:32 |
Помогите найти троян на сайте | WordPress | 9 | 22.03.2012 18:44 |
---------- addurl adsense facebook html proxy vkontakte xrumer zennoposter аккаунт база блог быть видео витрина вконтакт вопрос гугл делать деть домен есть запрос кейс ключ контент купить месяц можно новый нужный парсер плагин пользователь проблема программа продажа продвижение прокси работа работать регистрация сайт сделать сервис сеть скрипт софт ссылка стать статья стоимость страница тариф текст тема трафик форум цена яндекс
Тем:
77,545Сообщений:
762,316Пользователей:
30,079Сейчас на сайте:
0 пользователей и 178 гостей
