MAX++: ZeroAccess Rootkit za x64 platforme

Opisi virusa, 25.05.2011, 10:59 AM

MAX++: ZeroAccess Rootkit za x64 platforme

Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela.

Trojanac, poznat pod nazivom MAX++, koristi naprednu rootkit tehnologiju kako bi sakrio svoje prisustvo na sistemu. Kada je otkriven MAX++ je radio samo na x86 platformama, ali sada funkcioniše i na x64 sistemima.

MAX++ se obično instalira na kompjuteru korisnika putem drive-by download napada i to tako što se za to koristi neke od brojnih poznatih ranjivosti, najčešće propusti u Adobe Reader ili Java.

Kada se MAX++ Trojan-Downloader nađe na kompjuteru, on vrši proveru karakteristika računara. Konkretno, on proverava da li se nalazi na x64 sistemu nakon čega preuzima odgovarajući MAX++ Trojan-dropper (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).

"Najinteresantnije od svega je da kada se downloader pokrene na x64 sistemu to rezultira preuzimanjem posebno napravljenog dropper-a za x64 sisteme na zaraženi kompjuter. Ovaj dropper ne sadrži rootkit. To je korisnički mod malicioznog programa koji se ponaša kao x32 rootkit osim što su njegove komponente fajlovi i oni se čuvaju u "$windir\assembly" sa sličnom strukturom direktorijuma. Autorun na x64 je omogućen registry ključem "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems”. Telo dropper Trojanca se nalazi u system32 folderu pod nazivom consrv.dll. Svi moduli koje dropper preuzima sledeći svoju sopstvenu instalaciju su takođe dizajnirani za 64-bitne platforme," kaže analitičar Kaspersky Laboratorije Vasilij Berdnikov.

Moduli koje preuzima MAX++ sprovode različite aktivnosti, uključujući i manipulaciju rezultatima pretrage.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi macOS malver CrashStealer predstavlja se kao Apple alat za prijavu grešaka i krade lozinke

Novi macOS malver CrashStealer predstavlja se kao Apple alat za prijavu grešaka i krade lozinke

Bezbednosni istraživači upozoravaju na novi macOS malver pod nazivom CrashStealer, koji se predstavlja kao Apple-ov alat za prijavu grešaka kako bi... Dalje

Microsoft upozorava na GigaWiper, malver koji prvo špijunira, a zatim uništava računar

Microsoft upozorava na GigaWiper, malver koji prvo špijunira, a zatim uništava računar

Microsoft je objavio detalje o novom destruktivnom Windows malveru nazvanom GigaWiper, koji napadačima omogućava daljinski pristup zaraženim račun... Dalje

Scareware prevara CypherLoc: lažna upozorenja i prevaranti koji se predstavljaju kao tehnička podrška

Scareware prevara CypherLoc: lažna upozorenja i prevaranti koji se predstavljaju kao tehnička podrška

Istraživači kompanije Barracuda upozorili su na novu scareware prevaru pod nazivom „CypherLoc“, koja koristi iskačuće prozore i lažn... Dalje

Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike

Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike

Istraživači kompanije SentinelOne upozorili su na novu pretnju pod nazivom Reaper, infostealer malver za macOS koji se predstavlja kao legitimno sis... Dalje

Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke

Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke

Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje