Исследователи компьютерной безопасности корпорации Microsoft обнаружили новую модификацию хорошо известного семейства троянских вирусов Alureon, созданных для кражи персональных данных пользователей. В новой версии зловреда используются передовые методы шифрования с целью обхода антивирусной защиты.

Проведённый анализ показал, что выявленный способ шифрования похож на функции другого трояна Win32/Crypto, создающего собственный ключ шифрования, используемый для динамической обработки DLL-библиотек. Создатели Alureon пошли дальше и ввели учёт всех ранее использовавшихся ключей, что позволило избежать повторного использования этих ключей, а следовательно создало дополнительные сложности в детектировании работы вируса защитным ПО.

При работе с ключом происходит 255 итераций, полученный результат сохраняется в зашифрованный буфер, который содержится не в отдельной области памяти, а случайным образом распределяется по любым другим ресурсам системы. Вторая замеченная особенность состоит в использовании для дешифровки того же ключа, но в инверсной форме.

Эксперты по вопросам информационной безопасности прогнозируют распространение подобных ухищрений и на другие семейства вирусов.