Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom

Opisi virusa, 03.03.2014, 07:50 AM

Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom

Stručnjaci kompanije Sophos upozorili su da se pojavila nova verzija malvera Gameover sa kernel rootkit-om što značajno otežava uklanjanje malvera.

Gameover je Trojanac čiji je kod baziran na mnogo poznatijem bankarskom Trojancu Zeus, čiji je kod procurio na internetu 2011. godine. Gameover se razlikuje od ostalih trojanskih programa baziranih na kodu malvera Zeus zato što koristi peer-to-peer tehnologiju za komandu i kontrolu umesto tradicionalnih servera, što ga čini otpornijim u odnosu na srodne malvere.

Početkom februara, stručnjaci firme Malcovery Security uočili su novu verziju Trojanca Gameover koja se distribuira kao kriptovani .enc fajl da bi se zaobišle odbrane mreže. Najnoviji trik kojim se služe autori Gameover malvera je korišćenje kernel rootkit-a nazvanog Necurs da bi se zaštitili procesi malvera i sprečilo brisanje njegovih fajlova.

Najnovija verzija Gameover Trojanca se distribuira preko spam emailova koje navodno šalje HSBC Francuska, a u emailovima se nalaze prilozi u formi .zip fajla. Ipak, .zip fajlovi ne sadrže Gameover već downloader Trojanca poznatog pod nazivom Upatre koji, ako se pokrene, preuzima i instalira bankarski malver.

U prvoj fazi, ako je infekcija uspela, novi Gameover pokušava da instalira rootkit Necurs koji funkcioniše kao 32-bitni ili 64-bitni drajver, u zavisnosti od verzije Windows-a na računaru. Malver pokušava da iskoristi poznatu ranjivost u Windows-u za koju je Microsoft obezbedio zakrpu još u martu 2010. da bi instalirao drajver Necurs sa administratorskim privilegijama.

Ako je sistem zakrpljen i ako taj pokušaj ne uspe, malver pokreće User Account Control upit da bi zatražio od žrtve administratorski pristup. UAC upit trebalo bi da bude sumnjiv žrtvi s obzirom da je usledio posle otvaranja fajla u prilogu emaila.

Bez obzira da li je uspeo iz prve ili je dobio potvrdu korisnika o izvršenju, lažni drajver započinje da štiti komponente Gameover malvera.

“Rootkit u velikoj meri povećava teškoće uklanjanje zlonamernih programa sa zaraženog računara, tako da ćete verovatno duže ostati inficirani i prepustiti više podataka operaterima bot mreže Gameover”, kažu iz Sophos-a.

Dodavanje rootkit-a Necurs u Sophos-u objašnjavaju time da je moguće da su se dve grupe udružile ili da je grupa koja je vlasnik Gameover Trojanca kupila kod Necurs rootkit-a.

“Šta god da je razlog, dodavanje Necurs rootkit-a već opasnom malveru je nepoželjan razvoj”, kažu iz Sophos-a.

Zeus i njegovi derivati su i dalje popularni kod sajber kriminalaca. Prema podacima koje je nedavno objavio Dell Secure Works, verzije Zeus je i dalje čine polovinu svih bankarskih malvera viđenih prošle godine.

Osim krađe podataka koji su u vezi bankovnih računa, kriminalaci sve više koriste ovakve malvere za prikupljanje drugih vrsta podataka.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje