На днях в антивирусную лабораторию попал очень интересный сампл —
даунлоадер, содержащий в себе два драйвера, и скачивающий фальшивый
антивирус, как под платформу PC, так и под MacOS. Этот зловред
загружается и устанавливается на машину пользователя при помощи
эксплойт-пака "BlackHole Exploit Kit”. Последний, в свою очередь,
содержит эксплойты, использующие уязвимости в JRE (CVE-2010-0886,
CVE-2010-4452, CVE-2010-3552) и PDF.
Оба драйвера — типичные руткиты с богатым функционалом. Один из них —
32-битный, а второй — 64-битный. Особенность последнего состоит в том,
что он подписан т.н. тестовой цифровой подписью. Если Windows, семейства
Vista и выше, была загружена с ключом ‘TESTSIGNING’, то приложения
смогут загружать драйвера, подписанные тестовой подписью. Это
специальная лазейка, которую оставила Microsoft для разработчиков
драйверов, чтобы те могли тестировать свои творения. Этим-то и
воспользовались злоумышленники — они выполняют команду ‘bcdedit.exe –set
TE
...
Читать дальше »
