Троянская Windows-программа, появившаяся в Сети стараниями китайской хакерской группы Winnti, изначально применялась против компаний, специализирующихся на разработке онлайн-игр, или их интернет-провайдеров. Позднее версия этого троянца, названная Winnti 3.0, была также уличена IT-сообществом в шпионаже, предположительно в пользу правительства КНР. Анализ одного из новейших сэмплов Winnti 3.0, проведенный в «Лаборатории Касперского», подтверждает, что данный зловред действительно расширил спектр своих мишеней.

По свидетельству «лаборантов», изученный образец Winnti 3.0 устанавливается в систему как сервис Adobe. Основной компонент этой RAT-платформы, динамическая библиотека w64.dll, включает два драйвера, время компиляции которых удалось определить — 22 августа и 4 сентября 2014 года.

После расшифровки файла конфигурации было обнаружено имя мишени. Ею оказалась известная фармацевтическая компания международного уровня, базирующаяся в Западной Европе.

Примечательно, что один из драйверов Winnti 3.0, руткит, был подписан украденным сертификатом одного из отделений японской многопрофильной корпорации, занимающихся производством изделий микроэлектроники, а также в числе прочего разработкой лекарственных препаратов и медицинского оборудования.

Защитные решения «Лаборатории Касперского» детектируют обнаруженные компоненты Winnti 3.0 с вердиктами Backdoor.Win64.Winnti.gy, Backdoor.Win64.Winnti.gf и Rootkit.Win64.Winnti.ai.

Категории: Аналитика, Вредоносные программы, Главное