Novi ''policijski'' Trojanac se odupire pokušajima uklanjanja sa zaraženog računara
Opisi virusa, 31.01.2013, 07:15 AM
Stručnjaci firme AVG, proizvođača antivirusa, upozoravaju na novi malver iz grupe takozvanih „policijskih Trojanaca“ koji radi sve ono što i drugi ranije viđeni malveri ovog tipa, ali je po nečemu ipak jedinstven - on onemogućava pokušaje da se ukloni blokada sa fajlova kojima korisnik računara ne može da pristupi zbog infekcije.
Trojanac prikazuje uobičajeno, dobro poznato upozorenje da je korisnik počinio neko krivično delo i da će računar ostati zaključan a fajlovi šifrirani sve dok ne plati kaznu za svoj prestup.
U većini slučajeva infekcije policijskim Trojancima, malver se može pronaći na računaru i ukloniti bez plaćanja kazne za navodni prestup. U ovom slučaju, Trojanac šifrira slike, dokumenta i izvršne fajlove kako bi onemogućio pokušaje da bude uklonjen sa računara. Sistem ipak nije u potpunosti blokiran, što znači da Windows-ovi fajlovi nisu šifrovani, što nije uobičajeno za ovakve Trojance. Zaraženi računari i dalje mogu da funkcionišu ali podaci i mnogi programi neće raditi.
Nakon pokretanja malicioznog programa, malver se nasumično umnožava i ubacuje svoj kod u sistemski proces. Sistemski proces izvršava kopiju koda iz „%TEMP% foldera, kreirajući ctfmon.exe ili scvhost.exe procese sa ubačenim kodom.
Malver najpre generiše jedinstveni ID računara, a zatim koristi taj ID i niz „Qqasd123zxc“ da bi proizveo ključ za enkripciju sa kripto API funkcijama ka što su „advapi32!CryptHashData“ i „advapi32!CryptDeriveKey“ tako da napadač može kreirati ključ svaki put kada koristi taj niz. Malver potom šalje zahteve sa ID-jem računara serveru za komandu i kontrolu, šifrira komunikaciju sa serverom prvim ključem i omogućava Trojancu da ih dešifrira na zaraženim računarima.
Drugi ključ je kreiran sa „advapi32!CryptGenKey“. Ta funkcija će svaki put kada se koristi kreirati nasumično izabrani ključ koji za razliku od prvog ključa ne može biti ponovo kreiran.
Lista fajlova koje malver šifrira je definisana, i oni su šifrirani sa „advapi32!CryptEncrypt“ uz pomoć drugog ključa pre nego što se poznato obaveštenje o tome da je računar otet zbog navodnog korisnikovog prestupa pojavi na ekranu.
U tom trenutku, napadačima drugi ključ i može šifrirati i dešifrovati fajlove ukoliko tako odluči. Malver takođe onemogućava regedit, task manager i msconfig. AVG, čiji su stručnjaci upozorili korisnike na novog Trojanca, detektuje ovaj malver kao „Trojan horse Generic31.LBT“.
Izdvojeno
Lažni cheat-ovi šire malver među gejmerima
Istraživači malvera iz kompanije McAfee otkrili su novi malver za krađu informacija koji je povezan sa malverom Redline. Malver se predstavlja se k... Dalje
Ruski backdoor u mrežama kompanija u istočnoj Evropi
Istraživači iz finske kompanije za sajber bezbednost WithSecure detaljno su opisali malo poznati ruski backdoor malver koji se koristi u napadima na... Dalje
Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1
Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje
Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta
Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje
Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver
Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje
Pratite nas
Nagrade