Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom
Opisi virusa, 03.03.2014, 07:50 AM

Stručnjaci kompanije Sophos upozorili su da se pojavila nova verzija malvera Gameover sa kernel rootkit-om što značajno otežava uklanjanje malvera.
Gameover je Trojanac čiji je kod baziran na mnogo poznatijem bankarskom Trojancu Zeus, čiji je kod procurio na internetu 2011. godine. Gameover se razlikuje od ostalih trojanskih programa baziranih na kodu malvera Zeus zato što koristi peer-to-peer tehnologiju za komandu i kontrolu umesto tradicionalnih servera, što ga čini otpornijim u odnosu na srodne malvere.
Početkom februara, stručnjaci firme Malcovery Security uočili su novu verziju Trojanca Gameover koja se distribuira kao kriptovani .enc fajl da bi se zaobišle odbrane mreže. Najnoviji trik kojim se služe autori Gameover malvera je korišćenje kernel rootkit-a nazvanog Necurs da bi se zaštitili procesi malvera i sprečilo brisanje njegovih fajlova.
Najnovija verzija Gameover Trojanca se distribuira preko spam emailova koje navodno šalje HSBC Francuska, a u emailovima se nalaze prilozi u formi .zip fajla. Ipak, .zip fajlovi ne sadrže Gameover već downloader Trojanca poznatog pod nazivom Upatre koji, ako se pokrene, preuzima i instalira bankarski malver.
U prvoj fazi, ako je infekcija uspela, novi Gameover pokušava da instalira rootkit Necurs koji funkcioniše kao 32-bitni ili 64-bitni drajver, u zavisnosti od verzije Windows-a na računaru. Malver pokušava da iskoristi poznatu ranjivost u Windows-u za koju je Microsoft obezbedio zakrpu još u martu 2010. da bi instalirao drajver Necurs sa administratorskim privilegijama.
Ako je sistem zakrpljen i ako taj pokušaj ne uspe, malver pokreće User Account Control upit da bi zatražio od žrtve administratorski pristup. UAC upit trebalo bi da bude sumnjiv žrtvi s obzirom da je usledio posle otvaranja fajla u prilogu emaila.
Bez obzira da li je uspeo iz prve ili je dobio potvrdu korisnika o izvršenju, lažni drajver započinje da štiti komponente Gameover malvera.
“Rootkit u velikoj meri povećava teškoće uklanjanje zlonamernih programa sa zaraženog računara, tako da ćete verovatno duže ostati inficirani i prepustiti više podataka operaterima bot mreže Gameover”, kažu iz Sophos-a.
Dodavanje rootkit-a Necurs u Sophos-u objašnjavaju time da je moguće da su se dve grupe udružile ili da je grupa koja je vlasnik Gameover Trojanca kupila kod Necurs rootkit-a.
“Šta god da je razlog, dodavanje Necurs rootkit-a već opasnom malveru je nepoželjan razvoj”, kažu iz Sophos-a.
Zeus i njegovi derivati su i dalje popularni kod sajber kriminalaca. Prema podacima koje je nedavno objavio Dell Secure Works, verzije Zeus je i dalje čine polovinu svih bankarskih malvera viđenih prošle godine.
Osim krađe podataka koji su u vezi bankovnih računa, kriminalaci sve više koriste ovakve malvere za prikupljanje drugih vrsta podataka.

Izdvojeno
Novi malver za macOS krije se u piratskom softveru

Stručnjaci iz kompanije Kaspersky upozoravaju da sajber kriminalci napadaju korisnike macOS-a novim proksi trojanskim malverom koji je sakriven u pop... Dalje
Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje
Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje
Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje
Malver StripedFly zarazio više od milion računara
.jpg)
Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje
Pratite nas
Nagrade