MAX++: ZeroAccess Rootkit za x64 platforme
Opisi virusa, 25.05.2011, 10:59 AM
![MAX++: ZeroAccess Rootkit za x64 platforme](/thumbs/v2_1805_RootKit 1.jpg)
Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela.
Trojanac, poznat pod nazivom MAX++, koristi naprednu rootkit tehnologiju kako bi sakrio svoje prisustvo na sistemu. Kada je otkriven MAX++ je radio samo na x86 platformama, ali sada funkcioniše i na x64 sistemima.
MAX++ se obično instalira na kompjuteru korisnika putem drive-by download napada i to tako što se za to koristi neke od brojnih poznatih ranjivosti, najčešće propusti u Adobe Reader ili Java.
Kada se MAX++ Trojan-Downloader nađe na kompjuteru, on vrši proveru karakteristika računara. Konkretno, on proverava da li se nalazi na x64 sistemu nakon čega preuzima odgovarajući MAX++ Trojan-dropper (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).
"Najinteresantnije od svega je da kada se downloader pokrene na x64 sistemu to rezultira preuzimanjem posebno napravljenog dropper-a za x64 sisteme na zaraženi kompjuter. Ovaj dropper ne sadrži rootkit. To je korisnički mod malicioznog programa koji se ponaša kao x32 rootkit osim što su njegove komponente fajlovi i oni se čuvaju u "$windir\assembly" sa sličnom strukturom direktorijuma. Autorun na x64 je omogućen registry ključem "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems”. Telo dropper Trojanca se nalazi u system32 folderu pod nazivom consrv.dll. Svi moduli koje dropper preuzima sledeći svoju sopstvenu instalaciju su takođe dizajnirani za 64-bitne platforme," kaže analitičar Kaspersky Laboratorije Vasilij Berdnikov.
Moduli koje preuzima MAX++ sprovode različite aktivnosti, uključujući i manipulaciju rezultatima pretrage.
![GData](/s3n.jpg)
Izdvojeno
U toku je operacija čišćenja hiljade računara od malvera PlugX
![U toku je operacija čišćenja hiljade računara od malvera PlugX](/thumbs/v1_8836_screenshot-images.unsplash.com-2024.07.png)
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža
![Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža](/thumbs/v2_6340_philipp-katzenberger-iIJrUoeRoCQ-unsplash (9).jpg)
Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje
Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka
![Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka](/thumbs/v2_4639_pexels-padrinan-1591062.jpg)
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje
Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa
![Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa](/thumbs/v2_9428_sumudu-mohottige-bIgpii04UIg-unsplash (2).jpg)
Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje
Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace
![Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace](/thumbs/v1_3266_GDATA_Badspace_InfectionChain.png)
Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje
Pratite nas
Nagrade