Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom

Opisi virusa, 03.03.2014, 07:50 AM

Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom

Stručnjaci kompanije Sophos upozorili su da se pojavila nova verzija malvera Gameover sa kernel rootkit-om što značajno otežava uklanjanje malvera.

Gameover je Trojanac čiji je kod baziran na mnogo poznatijem bankarskom Trojancu Zeus, čiji je kod procurio na internetu 2011. godine. Gameover se razlikuje od ostalih trojanskih programa baziranih na kodu malvera Zeus zato što koristi peer-to-peer tehnologiju za komandu i kontrolu umesto tradicionalnih servera, što ga čini otpornijim u odnosu na srodne malvere.

Početkom februara, stručnjaci firme Malcovery Security uočili su novu verziju Trojanca Gameover koja se distribuira kao kriptovani .enc fajl da bi se zaobišle odbrane mreže. Najnoviji trik kojim se služe autori Gameover malvera je korišćenje kernel rootkit-a nazvanog Necurs da bi se zaštitili procesi malvera i sprečilo brisanje njegovih fajlova.

Najnovija verzija Gameover Trojanca se distribuira preko spam emailova koje navodno šalje HSBC Francuska, a u emailovima se nalaze prilozi u formi .zip fajla. Ipak, .zip fajlovi ne sadrže Gameover već downloader Trojanca poznatog pod nazivom Upatre koji, ako se pokrene, preuzima i instalira bankarski malver.

U prvoj fazi, ako je infekcija uspela, novi Gameover pokušava da instalira rootkit Necurs koji funkcioniše kao 32-bitni ili 64-bitni drajver, u zavisnosti od verzije Windows-a na računaru. Malver pokušava da iskoristi poznatu ranjivost u Windows-u za koju je Microsoft obezbedio zakrpu još u martu 2010. da bi instalirao drajver Necurs sa administratorskim privilegijama.

Ako je sistem zakrpljen i ako taj pokušaj ne uspe, malver pokreće User Account Control upit da bi zatražio od žrtve administratorski pristup. UAC upit trebalo bi da bude sumnjiv žrtvi s obzirom da je usledio posle otvaranja fajla u prilogu emaila.

Bez obzira da li je uspeo iz prve ili je dobio potvrdu korisnika o izvršenju, lažni drajver započinje da štiti komponente Gameover malvera.

“Rootkit u velikoj meri povećava teškoće uklanjanje zlonamernih programa sa zaraženog računara, tako da ćete verovatno duže ostati inficirani i prepustiti više podataka operaterima bot mreže Gameover”, kažu iz Sophos-a.

Dodavanje rootkit-a Necurs u Sophos-u objašnjavaju time da je moguće da su se dve grupe udružile ili da je grupa koja je vlasnik Gameover Trojanca kupila kod Necurs rootkit-a.

“Šta god da je razlog, dodavanje Necurs rootkit-a već opasnom malveru je nepoželjan razvoj”, kažu iz Sophos-a.

Zeus i njegovi derivati su i dalje popularni kod sajber kriminalaca. Prema podacima koje je nedavno objavio Dell Secure Works, verzije Zeus je i dalje čine polovinu svih bankarskih malvera viđenih prošle godine.

Osim krađe podataka koji su u vezi bankovnih računa, kriminalaci sve više koriste ovakve malvere za prikupljanje drugih vrsta podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje