Недавно аналитики ESET обнаружили интересную вредоносную программу – Win32/Sheldor.NAD, которая является модификацией популярного ПО для удаленного администрирования компьютера – TeamViewer.

Данные сведения были получены при проведении экспертизы в рамках расследования инцидента, инициированного Group-IB и связанного с мошенничеством в системах ДБО. При этом злоумышленники умудрились провести несколько поддельных транзакций и похитить около 5 миллионов рублей.

Win32/Sheldor.NAD – устанавливается посредством троянской программы-инсталлятора, которая внедряет в систему модифицированную версию популярного пакета для удаленного администрирования — TeamViewer пятой версии. Причем многие компоненты содержат легальную цифровую подпись:

В последнее время снова много стали говорить о рутките TDSS, а точнее о последней его модификации TDL3. По классификации ESET, данный руткит относится к вредоносным программам семейства Win32/Olmarik. По нашим статистическим данным, наибольшую активность, он проявляет в США. Другие антивирусные компании также подтверждают сей факт.

Стоит отметить, что за достаточно небольшой промежуток времени появилось уже несколько независимых исследований по этой теме: раз , два, три. Сегодня Центр вирусных исследований и аналитики российского представительства ESET обнародовал свой аналитический отчет «Руткит Win32/Olmarik: технологии работы и распространения», который был подготовлен по итогам длительного мониторинга и анализа различных модификаций этого руткита. Ниже мы приводим выдержки из этого документа.

В нашем исследовании присутствует описание не только технологий внедрения и функционирования, но и способов монетизации распространения. В нашем отчете присутствует ряд технологических моментов, нерассмотренных в других аналитических работах.
WIN32/OLMARIK распространяется посредством специальной программы – дропера, задачей которой является скрытая установка руткита. Тело дропера зашифровано и обфусцированно для того, чтобы затруднить детектирование антивирусным ПО. Во время расшифрования дропер использует некоторые приемы для противодействия отладке, эмуляции и определения выполнения в среде виртуальной машины.