Πρόσφατα, ένα δείγμα του BlackEnergy Trojan αναρτήθηκε στην υπηρεσία VirusTotal της Google, που προσφέρει δωρεάν σάρωση των αρχείων με πολλαπλούς κινητήρες antivirus.
Πρόκειται για μια παραλλαγή μιας προηγούμενης απειλής, η οποία, σύμφωνα με την F-Secure, έχει αποστασιοποιηθεί από τα χαρακτηριστικά ενός rootkit δεδομένου ότι δεν κρύβεται από τα αρχεία και τα μητρώα. Ωστόσο, η ανάλυση του δείγματος περιλαμβάνει λανθάνουσες ρουτίνες που κρύβουν τις διαδικασίες.
Αυτό βασίζονται στον άμεσο χειρισμό αντικειμένων από τον πυρήνα (kernel object manipulation, ή DKOM), μια μέθοδος που χρησιμοποιείται από διάφορα rootkits για να κρύψουν τις επιβλαβείς διαδικασίες, σε προγράμματα οδήγησης ή αρχεία.
Αυτός είναι και ο λόγος που το «κακόβουλο λογισμικό κρατά ένα σκληρό κωδικοποιημένο κατάλογο των αντισταθμιστικών οφελών στις δομές του πυρήνα” για να μπορεί να τρέχει σε πολλαπλές εκδόσεις των Windows.
Σύμφωνα με την έκθεση της F-Secure, το Trojan έχει προσαρμοστεί για να υποστηρίζει τις πιο πρόσφατες εκδόσεις του λειτουργικού συστήματος Windows, 8 και 8.1.
Δημιουργήθηκε από έναν Ρώσο hacker. Το κακόβουλο λογισμικό BlackΕnergy έχει χρησιμοποιηθεί σε επιθέσεις στον κυβερνοχώρο εναντίον της Γεωργίας από το 2008.
Δεν υπάρχει καμία πληροφορία σχετικά με το αν απειλή κυκλοφορεί αυτή τη στιγμή, αλλά, δεδομένου ότι έχει αναρτηθεί στην υπηρεσία VirusTotal, υπάρχουν πολλές πιθανότητες ότι προμηθευτές λογισμικού αντιμετώπισης ιών έχουν ήδη ετοιμάσει ενημερώσεις για την ανίχνευση και την απολύμανση των ρουτινών.
Επιπλέον, το δείγμα δεν έχει υπογραφεί ψηφιακά, γεγονός που καθιστά πιο δύσκολο να μολύνει ένα σύστημα λόγω του μηχανισμού επαλήθευσης στα σύγχρονα Windows. Ωστόσο, εάν η λειτουργία αυτή του λειτουργικού συστήματος είναι απενεργοποιημένη, οι επιτιθέμενοι μπορούν να καταλάβουν τον υπολογιστή μέσω του Black Energy.