Kindsight Security Labs: обнаружен новый образец китайского трояна Warp

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 22 июл 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Специалисты компании Kindsight Security Labs при анализе подозрительной сетевой активности обнаружили новый образец китайского трояна Warp.

    Этот замечательный вредонос с 2005 года знаком антивирусным экспертам под разными названиями: в 2006 году его называли NetSniff, в 2008 - Capiframe, а иногда его без уникального имени относили к семейству ARPSpoof и Trojan.Sniff. Однако, в основе всех этих зловредов лежала китайская утилита ZXArps, предназначенная для проведения атак с подменой трафика. Для работы этой утилиты также требовались библиотеки сетевого мониторинга WinPCAP.

    Всё это, дополненное скриптами автоматизации вредоносной деятельности и распространялось в виде трояна Warp. Как показало исследование, деятельность Warp в большей степени ориентирована на локальные сети предприятий. Дело в том, что после своего запуска он производит изменение структуры сети путем спуффинга ARP-протокола.

    Тем самым, весь внутрисетевой трафик проходит через инфицированную систему. В рассматриваемом случае, это все делалось для получения возможности внедрять вредоносный HTML-код в запрашиваемые из сети веб-страницы. Внедренный код, эксплуатируя уязвимости в Java и Adobe Flash, производил установку рекламного программного обеспечения и своё распространение на другие узлы сети.

    Вредоносный скрипт располагался на домене "xiagg.info", зарегистрированном в феврале 2012 года и размещаемом на хостинге China Telecom. Несмотря на то, что большинство обнаруженных в этой атаке вредоносов успешно детектируются антивирусными системами, эта атака интересна тем, что для получения контроля над сетевым трафиком необходимо заражение всего одного узла сети. Представленная технология достаточно проста в реализации и может быть использована для автоматизации сетевого шпионажа.

    Источник
     
    2 пользователям это понравилось.

Поделиться этой страницей