Kada dva malvera pomažu jedan drugom opstanak na zaraženom računaru

Opisi virusa, 01.07.2013, 10:28 AM

Kada dva malvera pomažu jedan drugom opstanak na zaraženom računaru

Stručnjaci Microsoft-ovog Centra za zaštitu od malvera otkrili su i analizirali zanimljivu simbiozu dva maliciozna programa koji pomažu jedan drugom da opstanu na računaru i otežaju antivirusima njihovo uklanjanje.

Dva malvera sarađuju preuzimajući naizmenično neznatno drugačije verzije onog drugog da bi izbegli detekciju od strane antivirusa, prouzrokujući velike probleme korisnicima računara.

Jedan od ovih programa je malver nazvan Vobfus, koji je otkriven prvi put u septembru 2009. godine. Reč je o downloader-u, programu koji preuzima druge maliciozne programe.

Kada Vobfus zarazi računar, on sa udaljenog C&C servera (servera za komandu i kontrolu) preuzima maliciozni program nazvan Beebone, koji je takođe downloader. Kad se nađu na istom računaru, ova dva programa počinju da rade zajedno, preuzimajući verzije onog drugog, i to nove verzije koje antvirus na računaru možda ne može da detektuje odmah.

Ovakav odnos između malvera je razlog zbog kojeg je Vobfus toliko otporan na antviruse, obašnjavaju u Microsoft-u. Ažuirani antivirusi mogu recimo detektovati jednu verziju malvera koja je prisutna na sistemu ali to ne mora da bude slučaj i sa verzijama koje se kasnije preuzimaju. U slučaju tipičnog samoažurirajućeg malvera, kada se malver otkrije na računaru i jednom ukloni, to je kraj infekcije, tako da ne postoji mogućnost preuzimanja novijih verzija malvera. Međutim, u slučaju Vobfus-a, čak i ako se malver otkrije i ukloni, računar može ponovo biti zaražen jer infekcija malverom Beebone može ostati neprimećena, tako da ovaj malver kasnije može preuzeti novu verziju Vobfus-a. Ovakav pristup malvera Vobfus i Beebone u mnogim slučajevima garantuje da će računar ostati zaražen.

Vobfus je takođe i crv koji se kopira na prenosive diskove u folderu %userprofile%, koristeći nasumično izabrane nazive fajlova ili nazive kao što su password.exe, porn.exe, secret.exe, sexy.exe, subst.exe i video.exe. On koristi autorun funkciju koja, ako je omogućena na računaru, omogućava Vobfus-u da se automatski pokrene i zarazi računar. Vobfus se pokreće svaki put kada se pokrene Windows. Pošto se nađe na računaru, Vobfus kontaktira C&C server da bi dobio šifrovane instrukcije o tome odakle da preuzme Beebone koji kasnije preuzima različite verzije Vobfus-a i brojne druge pretnje kao što su malveri iz familija Zbot, Sirefef, Fareit, Nedsym i Cutwail.

S obzirom da je jedan od načina infekcije drive-by download napad, vodite računa o tome da browser ali i ostali programi instalirani na računaru budu ažurirani, a mogući način prevencije infekcije je i isključivanje autorun funkcionalnosti, kažu iz Microsoft-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje

PromptLock: era AI ransomware-a je počela

PromptLock: era AI ransomware-a je počela

Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje