Исследователи продолжают восхищаться сложностью трояна Flame (Flamer,
Skywiper). Прошло несколько месяцев с момента его обнаружения, но
анализ кода продолжается до сих пор. Очередную порцию аналитики вчера
опубликовала польская компания CERT Polska, их
отчёт посвящён методам внедрения кода Flame в процессы Windows.
Исследователи отмечают, что инъекция кода в процессы и треды
считается традиционной техникой работы вирусов, но Flame — это особый
случай, потому что здесь данный метод доведён до совершенства. Перенос
кода между процессами происходит на протяжении всего цикла
жизнедеятельности трояна, начиная от инсталляции, и заканчивая
самоуничтожением. «Flame использует эту технику для переноса и
копирования своих элементов в разные части операционной системы жертвы с
потрясающей ловкостью», — пишут исследователи.
Они рассказывают, как после заражения через эксплойт уязвимости
...
Читать дальше »