1 Отстой0
1 1 1 1 1 1 1 1 1 1 Рейтинг 3.00 [1 Голос]

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

 

Pandemic используется для заражения корпоративных сетей через файлообменные серверы.


После двухнедельного молчания портал WikiLeaks опубликовал очередной хакерский инструмент из арсенала ЦРУ. Вредоносное ПО Pandemic предназначено для взлома компьютеров с общими папками, откуда пользователи загружают файлы с помощью протокола SMB. Pandemic отличается необычным, оригинальным принципом работы и не похож ни на один другой вредонос.


Согласно опубликованной WikiLeaks инструкции, программа устанавливается на атакуемую систему в качестве «фильтра-драйвера файловой системы». Его задачей является прослушивание SMB-трафика и определение попыток пользователей загрузить общие файлы с зараженного компьютера. Pandemic перехватывает запросы на загрузку и отвечает от имени инфицированной системы, но вместо легитимных файлов отправляет пользователю зараженные.


Если верить инструкции, за один заход программа способна заменить до 20 файлов (как 32-битных, так и 64-битных) с максимальным размером одного файла 800 МБ. Установка Pandemic занимает всего 15 секунд. Инструмент был специально разработан для замены исполняемых файлов, в особенности тех, что хранятся в общих папках в корпоративных сетях.

Предназначением Pandemic является заражение корпоративных файлообменных серверов и установка вредоносного ПО на компьютеры сотрудников.
Когда вредонос попадает в сеть, определить источник заражения и первую инфицированную систему весьма затруднительно. Это связано с тем, что драйвер файловой системы Pandemic определяет, когда локальный пользователь вручную получает доступ к одному из общих файлов, и выполняет чистую версию файла, а не вредоносную, которую передает по SMB. Таким образом, для обнаружения зараженных устройств системные администраторы должны загружать и сканировать файлы с других компьютеров по SMB.

Источник:  http://www.securitylab.ru/news/486465.php

Для комментирования вы должны авторизоваться.

Последняя активность