Experts van G Data hebben een zeer complexe vorm van malware geanalyseerd. Deze malware is ontworpen om vertrouwelijke gegevens te stelen. G Data noemt de malware Uroburos, vanwege een regel in de code van de malware en de verwijzing naar het oud-Griekse mythologische symbool van een slang die zichzelf in de staart bijt.
Belangrijkste conclusies tot nu toe:
– Uroburos is een rootkit, die uit twee bestanden bestaat: een driver en een versleuteld virtueel filesysteem. Het houdt zichzelf goed schuil op een geïnfecteerd systeem
– Uroburos kan informatie stelen (vooral bestanden) en netwerkverkeer opvangen
– Het is modulair opgebouwd, waardoor het gemakkelijk op een later tijdstip kan worden uitgebreid
– De malware zit zeer geraffineerd in elkaar en wordt vermoedelijk nog altijd doorontwikkeld
– De malware werkt in peer2peer-modus, waarmee verspreiding binnen een netwerk gemakkelijk is (ook van pc’s die niet op internet zijn aangesloten) en het verwijderen ingewikkeld.
– Vanwege verschillende aanwijzingen (o.a. bestandsnamen, encryptiesleutels, gedrag), vermoeden de G Data-onderzoekers dat deze malware door dezelfde makers is gemaakt als de malware die in 2008 werd ingezet tegen de overheid van de Verenigde Staten (Agent.BTZ)
– De makers lijken Russisch te zijn, vanwege het gebruik van de Russische taal in gevonden samples
– De oudste sample die de G Data-experts hebben gevonden dateert uit 2011, wat betekent dat deze malware minimaal drie jaar ontgedetecteerd zijn werk heeft kunnen doen.
– Het is nog onduidelijk hoe de initiële infectie plaatsvindt
Meer gedetailleerde informatie is hier te vinden.
