MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,453 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Обсуждение новостей, связанных с интернетом и технологиями.
При поддержке
Первый пост Опции темы
Старый 28.07.2016, 12:53
#1
Заблокированный
 
Регистрация: 07.06.2016
Сообщений: 290
Благодарностей: 9
ИБ-исследователи раскрыли подробности работы трояна Mad Max

Вредонос успел инфицировать компьютеры в 16 странах.
ИБ-исследователи из Arbor Networks сумели взломать сложный обфусцированный алгоритм генерации доменных имен вредоноса Mad Max. С помощью данного трояна злоумышленникам удалось создать ботнет, инфицировав компьютеры в 16 странах.
Специалисты сумели обнаружить все связанные с вредоносным ПО домены начиная с 2015 года, а также те, которые, предположительно, могли использоваться до 2017 года. Исследование Mad Max раскрыло некоторые важные подробности о трояне, однако эксперты Arbor Networks отложили публикацию информации на более поздний срок.
По данным Virtus Total, вредонос Mad Max может быть обнаружен только с помощью эвристики. По словам экспертов, вредонос загружает на систему несколько DLL-файлов и выполняет их с помощью rundll32.exe. Во избежании детектирования Mad Max использует обфускацию, и его код состоит в основном из фиктивных команд. Обфускация делает Mad Max весьма трудным для обнаружения как с помощью отладчика, так и реверс-инжиниринга. По словам исследователя из Arbor Networks Джэффа Эдвардса (Jeff Edwards), обфускация становится все более популярной среди злоумышленников.
Несмотря на все сложности, экспертам удалось создать деобфускатор, способный выявлять реальные команды, а не фиктивные. После удаления фиктивных команд, специалисты обнаружили, что Mad Max действительно использует алгоритм генерации доменных имен.
По словам экспертов, вредонос каждую неделю меняет генерируемое новое доменное имя, используя определенный шаблон домена верхнего уровня в зависимости от текущей недели месяца. В частности, троян будет генерировать домен в зоне .com для первой недели месяца, затем перейдет к .org, далее к .info и в конце месяца будет использовать .net.
Mad Max успел инфицировать компьютеры в Бразилии, Канаде, Китае, Финляндии, Франции, Германии, Индии, Италии, Японии, Южной Корее, Норвегии, Тайване, Таиланде, Украине, Великобритании и США.


Источник:https://www.securitylab.ru/news/483219.php
kral85 вне форума
Старый 28.07.2016, 14:25
#2
Любитель
 
Пол: Мужской
Инвестирую в: Другое
Регистрация: 04.12.2012
Сообщений: 3,020
Благодарностей: 260
Re: ИБ-исследователи раскрыли подробности работы трояна Mad Max

А что этот троян делает? Ворует данные?
Mracobec вне форума
Старый 30.07.2016, 20:03
#3
Мастер
 
Регистрация: 28.12.2015
Сообщений: 2,927
Благодарностей: 395
Re: ИБ-исследователи раскрыли подробности работы трояна Mad Max

Цитата:
Сообщение от Mracobec Посмотреть сообщение
А что этот троян делает? Ворует данные?
тоже не понял в чем суть)
Framm вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход