S21sec: Новая версия трояна Citadel

S21secЭксперты по безопасности компании S21sec обнаружили новую версию трояна Citadel. Троян получил улучшенный алгоритм шифрования, а также функцию обнаружения наличия работающих виртуальных сред, например, песочницы.

Наиболее интересной среди добавленных функций - функция "антиэмулятор". После запуска, троян проверяет компьютер на наличие работающих виртуальных сред. В случае обнаружения таковых, троян создает ложный домен и пытается установить с ним связь. Это сделано для того, чтобы направить исследователей по ложному пути, имитируя отключенный сервер. В случае отрицательных результатов проверки, вредоносная программа устанавливает связь с реальным удаленным сервером.

Также создатели снабдили свое детище улучшенным алгоритмом шифрования RC4, с помощью которого во время сеанса связи шифруется весь сетевой трафик. Вирусописатели учли уязвимость этого алгоритма и добавили к нему внутренний хэш.

Во время процесса шифрования потока данных, помимо обычных операции сложения по модулю 2 (XOR - операций) в алгоритме RC4, при каждой следующей итерации к полученному значению последовательно добавляются дополнительные символы, которые также были вычислены по XOR функции.

То есть, внутреннее шифрование заключается в том, что к основному значению посредством XOR-операции, добавляется дополнительная последовательность чисел, прошедших XOR процесс.

Таким образом, новая версия не будет поддерживать соединение с предыдущими версиями бота.


Обновлено (29.06.2012 03:07)