MAX++: ZeroAccess Rootkit za x64 platforme
Opisi virusa, 25.05.2011, 10:59 AM

Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela.
Trojanac, poznat pod nazivom MAX++, koristi naprednu rootkit tehnologiju kako bi sakrio svoje prisustvo na sistemu. Kada je otkriven MAX++ je radio samo na x86 platformama, ali sada funkcioniše i na x64 sistemima.
MAX++ se obično instalira na kompjuteru korisnika putem drive-by download napada i to tako što se za to koristi neke od brojnih poznatih ranjivosti, najčešće propusti u Adobe Reader ili Java.
Kada se MAX++ Trojan-Downloader nađe na kompjuteru, on vrši proveru karakteristika računara. Konkretno, on proverava da li se nalazi na x64 sistemu nakon čega preuzima odgovarajući MAX++ Trojan-dropper (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).
"Najinteresantnije od svega je da kada se downloader pokrene na x64 sistemu to rezultira preuzimanjem posebno napravljenog dropper-a za x64 sisteme na zaraženi kompjuter. Ovaj dropper ne sadrži rootkit. To je korisnički mod malicioznog programa koji se ponaša kao x32 rootkit osim što su njegove komponente fajlovi i oni se čuvaju u "$windir\assembly" sa sličnom strukturom direktorijuma. Autorun na x64 je omogućen registry ključem "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems”. Telo dropper Trojanca se nalazi u system32 folderu pod nazivom consrv.dll. Svi moduli koje dropper preuzima sledeći svoju sopstvenu instalaciju su takođe dizajnirani za 64-bitne platforme," kaže analitičar Kaspersky Laboratorije Vasilij Berdnikov.
Moduli koje preuzima MAX++ sprovode različite aktivnosti, uključujući i manipulaciju rezultatima pretrage.

Izdvojeno
Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje
Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje
BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje
Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje
Opasni ransomware Clop sada inficira i Linux sisteme
.jpg)
Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje
Pratite nas
Nagrade