Вирус, который используется правительством Германии для слежки за гражданами, может работать на 64-битных системах.
Исследователь «Лаборатории Касперского» Тильманн Вернер (Tillmann Werner) опубликовал в блоге компании подробную информацию о троянской программе, используемой правительством Германии для слежки за гражданами. Напомним, что на прошлой неделе группа хакеров Chaos Computer Club (CCC) представила аналитический отчет, в котором заявила, что немецкая полиция использует троянскую программу для слежки за подозреваемыми.
Через некоторое время после публикации CCC, компания F-Secure заявила о том, что на портал VirusTotal.com было выгружено загрузчик вируса, получившего название 0zapftis. Запросив от сотрудников F-Secure хэш вредоносного файла, специалисты ЛК нашли его в своей базе и провели тщательное исследование.
Исследователям удалось установить, что загрузчик содержит пять компонентов, каждый из которых несет собственный функционал. Сотрудников ЛК удалось выяснить, что вредоносная программа способна вируса поражать как 32-битные, так и 64-битные Windows платформы. Также шпионская программа следит за деятельностью довольно широкого спектра программ. Среди этих программ находятся все популярные браузеры и IM-клиенты. Вот полный список процессов, компрометируемых вирусом 0zapftis:
explorer.exe
firefox.exe
icqlite.exe
lowratevoip.exe
msnmsgr.exe
opera.exe
paltalk.exe
simplite-icq-aim.exe
simppro.exe
sipgatexlite.exe
skype.exe
skypepm.exe
voipbuster.exe
x-lite.exe
yahoomessenger.exe Таким образом мы видим что вирус игнорирует данные пользователей хранящиеся в осле и хроме, что очень странно. Видимо его разработчики посчитали эти приложения не юзабильными)))
Отметим, что для успешной работы вирус должен установить виртуальное устройство в режиме ядра. В случае с 64-битной версией Windows, при установке усстройства система запрашивает цифровую подпись сертификата доверия. Устанавливаемый загрузчиком 0zapftis драйвер содержит 1024 битный RSA сертификат, сгенерированный компанией Goose 11 апреля 2010 года.
Подробную информацию об исследовании сотрудников «Лаборатории Касперского» можно просмотреть здесь.
Внимание! У Вас нет прав для просмотра скрытого текста.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?