MAX++: ZeroAccess Rootkit za x64 platforme

Opisi virusa, 25.05.2011, 10:59 AM

MAX++: ZeroAccess Rootkit za x64 platforme

Poslednji u nizu malicioznih programa iz grupe rootkit-ova dizajniranih za 64-bitne sisteme je ZeroAccess rootkit koji cirkuliše već izvesno vreme i koji ima brojne zanimljive kapacitete, uključujući i anti-forenzični mehanizam i monitoring na nivou kernela.

Trojanac, poznat pod nazivom MAX++, koristi naprednu rootkit tehnologiju kako bi sakrio svoje prisustvo na sistemu. Kada je otkriven MAX++ je radio samo na x86 platformama, ali sada funkcioniše i na x64 sistemima.

MAX++ se obično instalira na kompjuteru korisnika putem drive-by download napada i to tako što se za to koristi neke od brojnih poznatih ranjivosti, najčešće propusti u Adobe Reader ili Java.

Kada se MAX++ Trojan-Downloader nađe na kompjuteru, on vrši proveru karakteristika računara. Konkretno, on proverava da li se nalazi na x64 sistemu nakon čega preuzima odgovarajući MAX++ Trojan-dropper (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).

"Najinteresantnije od svega je da kada se downloader pokrene na x64 sistemu to rezultira preuzimanjem posebno napravljenog dropper-a za x64 sisteme na zaraženi kompjuter. Ovaj dropper ne sadrži rootkit. To je korisnički mod malicioznog programa koji se ponaša kao x32 rootkit osim što su njegove komponente fajlovi i oni se čuvaju u "$windir\assembly" sa sličnom strukturom direktorijuma. Autorun na x64 je omogućen registry ključem "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems”. Telo dropper Trojanca se nalazi u system32 folderu pod nazivom consrv.dll. Svi moduli koje dropper preuzima sledeći svoju sopstvenu instalaciju su takođe dizajnirani za 64-bitne platforme," kaže analitičar Kaspersky Laboratorije Vasilij Berdnikov.

Moduli koje preuzima MAX++ sprovode različite aktivnosti, uključujući i manipulaciju rezultatima pretrage.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje