> "Похоже, он был создан одной из западных спецслужб. Мы делаем этот вывод на основании уровня технических знаний и навыков и количества времени, потребовавшихся для его создания", — сообщила Би-би-си сотрудник отдела стратегических разработок Symantec Шан Джон.
...
> Программа под условным названием Regin используется с 2008 года и позволяет незаконным образом собирать сведения о правительствах, компаниях, исследовательских институтах и отдельных людях, сообщил в понедельник, 24 ноября, один из ведущих мировых производителей антивирусных программ Symantec.
...
На отличненько как бы. Внезапно шесть лет уже прошло...
пасаны!! не понтуемся, это только вирусок для мелкомягких...у кого сервера на линухах — могут спать спокойно....на клиентких машинах касперский ловит:)))
Discovered: December 12, 2013
Updated: November 24, 2014 1:48:06 AM
Type: Trojan
Infection Length: Varies
Systems Affected: Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP
Backdoor.Regin is an extremely complex back door Trojan that enables stealthy surveillance activities. It can be customized with a wide range of different capabilities, which can be deployed depending on the target. It is a multi-staged, modular threat, meaning that it has a number of components, each depending on each other to perform attack operations.
When the Trojan is executed, it creates the following kernel drivers:
usbclass.sys
adpu160.sys
Next, the Trojan creates the following files which contain encrypted virtual file systems (EVSFs)
%System%\config\SystemLog.evt
%System%\config\SecurityLog.evt
%System%\config\ApplicationLog.evt
%Windir%\ime\imesc5\dicts\pintlgbp.imd
%Windir%\ime\imesc5\dicts\pintlgbs.imd
The Trojan then creates the following files:
msdcsvc.dat
msrdc64.dat
ApplicationLog.dat
%System%\config\SystemAudit.Evt
%Windir%\system32\winhttpc.dll
%Windir%\system32\wshnetc.dll
%Windir%\SysWow64\wshnetc.dll
%Windir%\system32\svcstat.exe
%Windir%\system32\svcsstat.exe
Next, the Trojan encrypts data and loads components of itself from extended attributes of the following folders:
%Windir%
%Windir%\cursors
%Windir%\fonts
%Windir%\System32
%Windir%\System32\drivers
The Trojan then creates the following registry subkeys:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA5A}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList\VideoBase
The attacker controls the Trojan using the following transport protocols:
Internet Control Message Protocol (ICMP): Payload information can be encoded and embedded in place of legitimate ICMP/ping data.
User Datagram Protocol (UDP): Raw UDP payload
Transmission Control Protocol (TCP): Raw TCP payload
HTTP: Payload information can be encoded and embedded within cookie data under the names SESSID, SMSWAP, TW, WINKER, TIMESET, LASTVISIT, AST.NET_SessionId, PHPSESSID, or phpAds_d. This information can be combined with another cookie for validation under the names USERIDTK, UID, GRID, UID=PREF=ID, TM, __utma, LM, TMARK, VERSION, or CURRENT
The Trojan may then perform the following actions:
Sniff low-level network traffic
Exfiltrate data through various channels (TCP, UDP, ICMP, and HTTP)
Gather computer information
Steal passwords
Gather process and memory information
Navigate through file system
Perform low-level forensics operations, such as retrieving files that were deleted
Manipulate user interface (UI), such as conducting remote mouse point-and-click activities and capturing screenshots
Enumerate Internet Information Services (IIS) web servers and steal logs
Sniff GSM BSC administration network traffic symantec.com
я таки понял, что существует какой то там из многотысячной армады атакующих наши системы вирус...но...как происходит заражение? какое тело файла? как проявляеца, как отслеживать? статья ГАВНО...за инфу спасибо:)))
Открыт: 12 декабря 2013
Обновлено: 24 ноября 2014 1:48:06 AM
Тип: Троянец
Инфекция Длина: Зависит
Системы флаги: Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP
Backdoor.Regin является чрезвычайно сложной задней двери троян, который позволяет крадущиеся мероприятий по надзору. Он может быть настроен с широким спектром различных возможностей, которые могут быть развернуты в зависимости от цели. Это в несколько этапов, модульный угрозы, что означает, что он имеет ряд компонентов, каждый из которых, в зависимости от друга для выполнения операций атаки.
Когда Trojan выполнена, она создает следующие драйверы ядра:
usbclass.sys
adpu160.sys
Далее, троянец создает следующие файлы, которые содержат зашифрованные виртуальные файловые системы (EVSFs)
% System% \ Config \ SystemLog.evt
% System% \ Config \ SecurityLog.evt
% System% \ Config \ ApplicationLog.evt
% Windir% \ име \ imesc5 \ предсказывает \ pintlgbp.imd
% Windir% \ име \ imesc5 \ предсказывает \ pintlgbs.imd
Затем троянец создает следующие файлы:
msdcsvc.dat
msrdc64.dat
ApplicationLog.dat
% System% \ Config \ SystemAudit.Evt
% Windir% \ system32 \ winhttpc.dll
% Windir% \ system32 \ wshnetc.dll
% Windir% \ SysWOW64 \ wshnetc.dll
% Windir% \ system32 \ svcstat.exe
% Windir% \ system32 \ svcsstat.exe
Далее, троян шифрует данные и загружает компоненты собой из расширенных атрибутов из следующих папок:
% Windir%
% Windir% \ курсоры
% Windir% \ Fonts
% Windir% \ System32
% Windir% \ System32 \ Drivers
Затем троянец создает следующие подразделы реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Class \ {4F20E605-9452-4787-B793-D0204917CA58}
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Class \ {4F20E605-9452-4787-B793-D0204917CA5A}
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ RestoreList \ Видеобаза
Злоумышленник контролирует трояна, используя следующие транспортные протоколы:
Internet Control Message Protocol (ICMP): полезной информации можно закодировать и встроенный в месте законного ICMP данных / Ping.
User Datagram Protocol (UDP): Сырье UDP Полезная нагрузка
Протокол управления передачей (TCP): Raw TCP полезной нагрузки
HTTP: полезной информации можно закодировать и внедрены в данных печенья под названиями SESSID, SMSWAP, TW, указатель поворота, TIMESET, LASTVISIT, AST.NET_SessionId, PHPSESSID или phpAds_d. Эта информация может быть объединен с другим печеньем для проверки под названиями USERIDTK, UID, GRID, UID = PREF = ID, ТМ, __utma, LM, TMARK, версия, или ток
Trojan может затем выполнять следующие действия:
Sniff трафик низкого уровня
Exfiltrate данные по различным каналам (TCP, UDP, ICMP, и HTTP)
Соберите информацию о компьютере
Ворующих пароли
Соберите процесса и памяти
Навигация по файловой системе
Выполнение судебно-медицинской экспертизы операции более низкого уровня, такие как получение файлов, которые были удалены
Манипулирование пользовательский интерфейс (UI), такие, как проведение дистанционного управления мышью точки и щелкнуть по кнопке деятельности и захвата скриншотов
Перечислять Internet Information Services (IIS) веб-серверов и украсть журналы
Sniff GSM BSC администрация сетевой трафик
Discovered: December 12, 2013
Updated: November 24, 2014 1:48:06 AM
Type: Trojan
Infection Length: Varies
Systems Affected: Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP
Backdoor.Regin is a Trojan horse that opens a back door and steals information from the compromised computer.
Backdoor.Regin is an extremely complex back door Trojan that enables stealthy surveillance activities. It can be customized with a wide range of different capabilities, which can be deployed depending on the target. It is a multi-staged, modular threat, meaning that it has a number of components, each depending on each other to perform attack operations.
Further information
For more information on Backdoor.Regin, read our blog: Regin: Top-tier espionage tool enables stealthy surveillance
Note: Definitions prior to November 24, 2014 may detect this threat as Backdoor.Trojan.GR. symantec.com
неужели трудно было нажать на переводчик?
Ну да ладноОткрыт: 12 декабря 2013
Обновлено: 24 ноября 2014 1:48:06 AM
Тип : Trojan
Инфекция Длина: Зависит
Системы флаги: Windows 2000, Windows 7 , Windows NT , Windows Vista, Windows XP
Backdoor.Regin являетсятроянский конь , который открывает заднюю дверь и ворует информацию с зараженном компьютере .
Backdoor.Regin являетсячрезвычайно сложной задней двери троян, который позволяет крадущиеся мероприятий по надзору . Он может быть настроен с широким спектром различных возможностей , которые могут быть развернуты в зависимости от цели . Это в несколько этапов , модульный угрозы , что означает, что он имеет ряд компонентов , каждый из которых , в зависимости от друга для выполнения операций атаки .
Дополнительная информация
Для получения более подробной информации о Backdoor.Regin , читайте наш блог : Регин : топ-уровня шпионаж инструмент позволяет тайный надзор
Примечание : Определения , предшествующих 24 ноября 2014 может обнаружить эту угрозу как Backdoor.Trojan.GR
Комментарии
...
> Программа под условным названием Regin используется с 2008 года и позволяет незаконным образом собирать сведения о правительствах, компаниях, исследовательских институтах и отдельных людях, сообщил в понедельник, 24 ноября, один из ведущих мировых производителей антивирусных программ Symantec.
...
На отличненько как бы. Внезапно шесть лет уже прошло...
Updated: November 24, 2014 1:48:06 AM
Type: Trojan
Infection Length: Varies
Systems Affected: Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP
Backdoor.Regin is an extremely complex back door Trojan that enables stealthy surveillance activities. It can be customized with a wide range of different capabilities, which can be deployed depending on the target. It is a multi-staged, modular threat, meaning that it has a number of components, each depending on each other to perform attack operations.
When the Trojan is executed, it creates the following kernel drivers:
usbclass.sys
adpu160.sys
Next, the Trojan creates the following files which contain encrypted virtual file systems (EVSFs)
%System%\config\SystemLog.evt
%System%\config\SecurityLog.evt
%System%\config\ApplicationLog.evt
%Windir%\ime\imesc5\dicts\pintlgbp.imd
%Windir%\ime\imesc5\dicts\pintlgbs.imd
The Trojan then creates the following files:
msdcsvc.dat
msrdc64.dat
ApplicationLog.dat
%System%\config\SystemAudit.Evt
%Windir%\system32\winhttpc.dll
%Windir%\system32\wshnetc.dll
%Windir%\SysWow64\wshnetc.dll
%Windir%\system32\svcstat.exe
%Windir%\system32\svcsstat.exe
Next, the Trojan encrypts data and loads components of itself from extended attributes of the following folders:
%Windir%
%Windir%\cursors
%Windir%\fonts
%Windir%\System32
%Windir%\System32\drivers
The Trojan then creates the following registry subkeys:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA5A}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList\VideoBase
The attacker controls the Trojan using the following transport protocols:
Internet Control Message Protocol (ICMP): Payload information can be encoded and embedded in place of legitimate ICMP/ping data.
User Datagram Protocol (UDP): Raw UDP payload
Transmission Control Protocol (TCP): Raw TCP payload
HTTP: Payload information can be encoded and embedded within cookie data under the names SESSID, SMSWAP, TW, WINKER, TIMESET, LASTVISIT, AST.NET_SessionId, PHPSESSID, or phpAds_d. This information can be combined with another cookie for validation under the names USERIDTK, UID, GRID, UID=PREF=ID, TM, __utma, LM, TMARK, VERSION, or CURRENT
The Trojan may then perform the following actions:
Sniff low-level network traffic
Exfiltrate data through various channels (TCP, UDP, ICMP, and HTTP)
Gather computer information
Steal passwords
Gather process and memory information
Navigate through file system
Perform low-level forensics operations, such as retrieving files that were deleted
Manipulate user interface (UI), such as conducting remote mouse point-and-click activities and capturing screenshots
Enumerate Internet Information Services (IIS) web servers and steal logs
Sniff GSM BSC administration network traffic
symantec.com
Обновлено: 24 ноября 2014 1:48:06 AM
Тип: Троянец
Инфекция Длина: Зависит
Системы флаги: Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP
Backdoor.Regin является чрезвычайно сложной задней двери троян, который позволяет крадущиеся мероприятий по надзору. Он может быть настроен с широким спектром различных возможностей, которые могут быть развернуты в зависимости от цели. Это в несколько этапов, модульный угрозы, что означает, что он имеет ряд компонентов, каждый из которых, в зависимости от друга для выполнения операций атаки.
Когда Trojan выполнена, она создает следующие драйверы ядра:
usbclass.sys
adpu160.sys
Далее, троянец создает следующие файлы, которые содержат зашифрованные виртуальные файловые системы (EVSFs)
% System% \ Config \ SystemLog.evt
% System% \ Config \ SecurityLog.evt
% System% \ Config \ ApplicationLog.evt
% Windir% \ име \ imesc5 \ предсказывает \ pintlgbp.imd
% Windir% \ име \ imesc5 \ предсказывает \ pintlgbs.imd
Затем троянец создает следующие файлы:
msdcsvc.dat
msrdc64.dat
ApplicationLog.dat
% System% \ Config \ SystemAudit.Evt
% Windir% \ system32 \ winhttpc.dll
% Windir% \ system32 \ wshnetc.dll
% Windir% \ SysWOW64 \ wshnetc.dll
% Windir% \ system32 \ svcstat.exe
% Windir% \ system32 \ svcsstat.exe
Далее, троян шифрует данные и загружает компоненты собой из расширенных атрибутов из следующих папок:
% Windir%
% Windir% \ курсоры
% Windir% \ Fonts
% Windir% \ System32
% Windir% \ System32 \ Drivers
Затем троянец создает следующие подразделы реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Class \ {4F20E605-9452-4787-B793-D0204917CA58}
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Class \ {4F20E605-9452-4787-B793-D0204917CA5A}
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ RestoreList \ Видеобаза
Злоумышленник контролирует трояна, используя следующие транспортные протоколы:
Internet Control Message Protocol (ICMP): полезной информации можно закодировать и встроенный в месте законного ICMP данных / Ping.
User Datagram Protocol (UDP): Сырье UDP Полезная нагрузка
Протокол управления передачей (TCP): Raw TCP полезной нагрузки
HTTP: полезной информации можно закодировать и внедрены в данных печенья под названиями SESSID, SMSWAP, TW, указатель поворота, TIMESET, LASTVISIT, AST.NET_SessionId, PHPSESSID или phpAds_d. Эта информация может быть объединен с другим печеньем для проверки под названиями USERIDTK, UID, GRID, UID = PREF = ID, ТМ, __utma, LM, TMARK, версия, или ток
Trojan может затем выполнять следующие действия:
Sniff трафик низкого уровня
Exfiltrate данные по различным каналам (TCP, UDP, ICMP, и HTTP)
Соберите информацию о компьютере
Ворующих пароли
Соберите процесса и памяти
Навигация по файловой системе
Выполнение судебно-медицинской экспертизы операции более низкого уровня, такие как получение файлов, которые были удалены
Манипулирование пользовательский интерфейс (UI), такие, как проведение дистанционного управления мышью точки и щелкнуть по кнопке деятельности и захвата скриншотов
Перечислять Internet Information Services (IIS) веб-серверов и украсть журналы
Sniff GSM BSC администрация сетевой трафик
Updated: November 24, 2014 1:48:06 AM
Type: Trojan
Infection Length: Varies
Systems Affected: Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP
Backdoor.Regin is a Trojan horse that opens a back door and steals information from the compromised computer.
Backdoor.Regin is an extremely complex back door Trojan that enables stealthy surveillance activities. It can be customized with a wide range of different capabilities, which can be deployed depending on the target. It is a multi-staged, modular threat, meaning that it has a number of components, each depending on each other to perform attack operations.
Further information
For more information on Backdoor.Regin, read our blog: Regin: Top-tier espionage tool enables stealthy surveillance
Note: Definitions prior to November 24, 2014 may detect this threat as Backdoor.Trojan.GR.
symantec.com
Ну да ладноОткрыт: 12 декабря 2013
Обновлено: 24 ноября 2014 1:48:06 AM
Тип : Trojan
Инфекция Длина: Зависит
Системы флаги: Windows 2000, Windows 7 , Windows NT , Windows Vista, Windows XP
Backdoor.Regin являетсятроянский конь , который открывает заднюю дверь и ворует информацию с зараженном компьютере .
Backdoor.Regin являетсячрезвычайно сложной задней двери троян, который позволяет крадущиеся мероприятий по надзору . Он может быть настроен с широким спектром различных возможностей , которые могут быть развернуты в зависимости от цели . Это в несколько этапов , модульный угрозы , что означает, что он имеет ряд компонентов , каждый из которых , в зависимости от друга для выполнения операций атаки .
Дополнительная информация
Для получения более подробной информации о Backdoor.Regin , читайте наш блог : Регин : топ-уровня шпионаж инструмент позволяет тайный надзор
Примечание : Определения , предшествующих 24 ноября 2014 может обнаружить эту угрозу как Backdoor.Trojan.GR
Это для тех кто в теме.
А для интересующихся Гугл в помощь.
Вас таки в Гугле забанили?
Может это не про вирусы статья?
а тут кашу манную по тарелки размазывает
)))