MAX++: ZeroAccess Rootkit za x64 platforme
Opisi virusa, 25.05.2011, 10:59 AM
Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela.
Trojanac, poznat pod nazivom MAX++, koristi naprednu rootkit tehnologiju kako bi sakrio svoje prisustvo na sistemu. Kada je otkriven MAX++ je radio samo na x86 platformama, ali sada funkcioniše i na x64 sistemima.
MAX++ se obično instalira na kompjuteru korisnika putem drive-by download napada i to tako što se za to koristi neke od brojnih poznatih ranjivosti, najčešće propusti u Adobe Reader ili Java.
Kada se MAX++ Trojan-Downloader nađe na kompjuteru, on vrši proveru karakteristika računara. Konkretno, on proverava da li se nalazi na x64 sistemu nakon čega preuzima odgovarajući MAX++ Trojan-dropper (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).
"Najinteresantnije od svega je da kada se downloader pokrene na x64 sistemu to rezultira preuzimanjem posebno napravljenog dropper-a za x64 sisteme na zaraženi kompjuter. Ovaj dropper ne sadrži rootkit. To je korisnički mod malicioznog programa koji se ponaša kao x32 rootkit osim što su njegove komponente fajlovi i oni se čuvaju u "$windir\assembly" sa sličnom strukturom direktorijuma. Autorun na x64 je omogućen registry ključem "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems”. Telo dropper Trojanca se nalazi u system32 folderu pod nazivom consrv.dll. Svi moduli koje dropper preuzima sledeći svoju sopstvenu instalaciju su takođe dizajnirani za 64-bitne platforme," kaže analitičar Kaspersky Laboratorije Vasilij Berdnikov.
Moduli koje preuzima MAX++ sprovode različite aktivnosti, uključujući i manipulaciju rezultatima pretrage.
Izdvojeno
Novi macOS malver CrashStealer predstavlja se kao Apple alat za prijavu grešaka i krade lozinke
Bezbednosni istraživači upozoravaju na novi macOS malver pod nazivom CrashStealer, koji se predstavlja kao Apple-ov alat za prijavu grešaka kako bi... Dalje
Microsoft upozorava na GigaWiper, malver koji prvo špijunira, a zatim uništava računar
Microsoft je objavio detalje o novom destruktivnom Windows malveru nazvanom GigaWiper, koji napadačima omogućava daljinski pristup zaraženim račun... Dalje
Scareware prevara CypherLoc: lažna upozorenja i prevaranti koji se predstavljaju kao tehnička podrška
Istraživači kompanije Barracuda upozorili su na novu scareware prevaru pod nazivom „CypherLoc“, koja koristi iskačuće prozore i lažn... Dalje
Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike
Istraživači kompanije SentinelOne upozorili su na novu pretnju pod nazivom Reaper, infostealer malver za macOS koji se predstavlja kao legitimno sis... Dalje
Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke
Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





