Pratite nas preko RSS-aNovi ''policijski'' Trojanac se odupire pokušajima uklanjanja sa zaraženog računara
Opisi virusa, 31.01.2013, 07:15 AM
Stručnjaci firme AVG, proizvođača antivirusa, upozoravaju na novi malver iz grupe takozvanih „policijskih Trojanaca“ koji radi sve ono što i drugi ranije viđeni malveri ovog tipa, ali je po nečemu ipak jedinstven - on onemogućava pokušaje da se ukloni blokada sa fajlova kojima korisnik računara ne može da pristupi zbog infekcije.
Trojanac prikazuje uobičajeno, dobro poznato upozorenje da je korisnik počinio neko krivično delo i da će računar ostati zaključan a fajlovi šifrirani sve dok ne plati kaznu za svoj prestup.
U većini slučajeva infekcije policijskim Trojancima, malver se može pronaći na računaru i ukloniti bez plaćanja kazne za navodni prestup. U ovom slučaju, Trojanac šifrira slike, dokumenta i izvršne fajlove kako bi onemogućio pokušaje da bude uklonjen sa računara. Sistem ipak nije u potpunosti blokiran, što znači da Windows-ovi fajlovi nisu šifrovani, što nije uobičajeno za ovakve Trojance. Zaraženi računari i dalje mogu da funkcionišu ali podaci i mnogi programi neće raditi.
Nakon pokretanja malicioznog programa, malver se nasumično umnožava i ubacuje svoj kod u sistemski proces. Sistemski proces izvršava kopiju koda iz „%TEMP% foldera, kreirajući ctfmon.exe ili scvhost.exe procese sa ubačenim kodom.
Malver najpre generiše jedinstveni ID računara, a zatim koristi taj ID i niz „Qqasd123zxc“ da bi proizveo ključ za enkripciju sa kripto API funkcijama ka što su „advapi32!CryptHashData“ i „advapi32!CryptDeriveKey“ tako da napadač može kreirati ključ svaki put kada koristi taj niz. Malver potom šalje zahteve sa ID-jem računara serveru za komandu i kontrolu, šifrira komunikaciju sa serverom prvim ključem i omogućava Trojancu da ih dešifrira na zaraženim računarima.
Drugi ključ je kreiran sa „advapi32!CryptGenKey“. Ta funkcija će svaki put kada se koristi kreirati nasumično izabrani ključ koji za razliku od prvog ključa ne može biti ponovo kreiran.
Lista fajlova koje malver šifrira je definisana, i oni su šifrirani sa „advapi32!CryptEncrypt“ uz pomoć drugog ključa pre nego što se poznato obaveštenje o tome da je računar otet zbog navodnog korisnikovog prestupa pojavi na ekranu.
U tom trenutku, napadačima drugi ključ i može šifrirati i dešifrovati fajlove ukoliko tako odluči. Malver takođe onemogućava regedit, task manager i msconfig. AVG, čiji su stručnjaci upozorili korisnike na novog Trojanca, detektuje ovaj malver kao „Trojan horse Generic31.LBT“.
Izdvojeno
Lažni CAPTCHA navodi korisnike da sami instaliraju malver Amatera Stealer
Istraživači iz kompanije Blackpoint Cyber otkrili su novu kampanju u kojoj napadači koriste lažni CAPTCHA test kako bi naveli korisnike da sami po... Dalje
Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare
Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programe... Dalje
Lažni modovi i krekovi kriju Stealka malver koji krade lozinke i kriptovalute
Stručnjaci kompanije Kaspersky otkrili su novi infostealer malver pod nazivom Stealka, koji cilja korisnike Windows sistema. Napadači ga koriste za ... Dalje
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Novi trojanac ChrimeraWire: lažni korisnici, pravi klikovi i SEO prevara
Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tak... Dalje
Pratite nas
Nagrade
Prijatelji
