Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom

Opisi virusa, 03.03.2014, 07:50 AM

Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom

Stručnjaci kompanije Sophos upozorili su da se pojavila nova verzija malvera Gameover sa kernel rootkit-om što značajno otežava uklanjanje malvera.

Gameover je Trojanac čiji je kod baziran na mnogo poznatijem bankarskom Trojancu Zeus, čiji je kod procurio na internetu 2011. godine. Gameover se razlikuje od ostalih trojanskih programa baziranih na kodu malvera Zeus zato što koristi peer-to-peer tehnologiju za komandu i kontrolu umesto tradicionalnih servera, što ga čini otpornijim u odnosu na srodne malvere.

Početkom februara, stručnjaci firme Malcovery Security uočili su novu verziju Trojanca Gameover koja se distribuira kao kriptovani .enc fajl da bi se zaobišle odbrane mreže. Najnoviji trik kojim se služe autori Gameover malvera je korišćenje kernel rootkit-a nazvanog Necurs da bi se zaštitili procesi malvera i sprečilo brisanje njegovih fajlova.

Najnovija verzija Gameover Trojanca se distribuira preko spam emailova koje navodno šalje HSBC Francuska, a u emailovima se nalaze prilozi u formi .zip fajla. Ipak, .zip fajlovi ne sadrže Gameover već downloader Trojanca poznatog pod nazivom Upatre koji, ako se pokrene, preuzima i instalira bankarski malver.

U prvoj fazi, ako je infekcija uspela, novi Gameover pokušava da instalira rootkit Necurs koji funkcioniše kao 32-bitni ili 64-bitni drajver, u zavisnosti od verzije Windows-a na računaru. Malver pokušava da iskoristi poznatu ranjivost u Windows-u za koju je Microsoft obezbedio zakrpu još u martu 2010. da bi instalirao drajver Necurs sa administratorskim privilegijama.

Ako je sistem zakrpljen i ako taj pokušaj ne uspe, malver pokreće User Account Control upit da bi zatražio od žrtve administratorski pristup. UAC upit trebalo bi da bude sumnjiv žrtvi s obzirom da je usledio posle otvaranja fajla u prilogu emaila.

Bez obzira da li je uspeo iz prve ili je dobio potvrdu korisnika o izvršenju, lažni drajver započinje da štiti komponente Gameover malvera.

“Rootkit u velikoj meri povećava teškoće uklanjanje zlonamernih programa sa zaraženog računara, tako da ćete verovatno duže ostati inficirani i prepustiti više podataka operaterima bot mreže Gameover”, kažu iz Sophos-a.

Dodavanje rootkit-a Necurs u Sophos-u objašnjavaju time da je moguće da su se dve grupe udružile ili da je grupa koja je vlasnik Gameover Trojanca kupila kod Necurs rootkit-a.

“Šta god da je razlog, dodavanje Necurs rootkit-a već opasnom malveru je nepoželjan razvoj”, kažu iz Sophos-a.

Zeus i njegovi derivati su i dalje popularni kod sajber kriminalaca. Prema podacima koje je nedavno objavio Dell Secure Works, verzije Zeus je i dalje čine polovinu svih bankarskih malvera viđenih prošle godine.

Osim krađe podataka koji su u vezi bankovnih računa, kriminalaci sve više koriste ovakve malvere za prikupljanje drugih vrsta podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje