Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru

Opisi virusa, 10.12.2012, 09:40 AM

Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru

Prema podacima Microsoft-ovog Centra za zaštitu od malvera (Microsoft Malware Protection Center), samo u novembru otkriveno je 83427 računara zaraženih rootkitom "Necurs", višenamenskim malverom koji ugrožava računare sa 32-bitnim i 64-bitnim Windows sistemima. Malver se distribuira u drive-by download napadima sa sajtova koji hostuju ozloglašeni BlackHole exploit kit.

Necurs kao i većina rootkitova je veoma opasan zahvaljujući činjenici da je reč o veoma kompleksnom malveru koji uspešno izbegava detekciju zaštitnog softvera instaliranog na računaru. Malver je osposobljen da preuzima dodatne malvere, onemogući veliki broj antivirusnih programa i instalira backdoor. Osim toga, Necurs omogućava napadačima daljinski pristup zaraženom računaru, monitoring nad aktivnostima korisnika, slanje spama i instalaciju scarewarea. Neke verzije malvera ubacuju kod u sve aktivne procese. Taj kod koji se naziva „mrtav bajt“ ubačen u određene sistemske procese uzrokuje restartovanje računara.

Ipak, ključna karakteristika ovog malvera je sposobnost da izbegne otkrivanje od strane antivirusa što mu obezbeđuje poziciju dugotrajne pretnje na zaraženim računarima.

Drajver malvera se redovno ažurira kako bi rootkit ostao što duže neprimećen na računaru. Pored toga, malver je osposobljen da izbegne Kernel Patch Protection (PatchGuard) u 64-bitnom Windowsu, čija je uloga da spreči bilo koju modifikaciju kernela. Da bi zaobišao PatchGuard na 64-bitnim operativnim sistemima, malver koristi takozvni "test-signing" metod. „TESTSIGNING“ mod omogućava učitavanje probnog digitalnog potpisa. Ako se Windows Vista ili kasnije verzije pokrenu u „TESTSIGNING“ modu, programi mogu pokrenuti drajvere sa ovakvim digitlanim potpisom. Microsoft je ostavio ovu mogućnost programerima drajvera kako bi mogli da testiraju svoje drajvere. Međutim, TESTSIGNING opcija nije uključena „po defaultu“ što znači da se ovakvi drajveri neće učitavati osim ako se ne omogući ovaj mod. Da bi obezbedio učitavanje malicioznog drajvera, Necurs pokreće komandu "bcdedit.exe -set TESTSIGNING ON".

Hakerski alat, Black Hole exploit kit, koji služi za distribuciju rootkita Necurs je jedan od najčešće korišćenih paketa explota na internetu. Komercijalne verzije Black Hole prodaju se na hakerskim forumima. Downloaderi se nalaze na kompromitovanim veb sajtovima i instaliraju exploite koji napadaju ranjivosti u funkcijama i aplikacijama što rezultira infekcijom računara. U septembru je objavljena 2.0 verzija Black Hole exploit kit koja između ostalih poboljšanja prethodne verzije, donosi i funkcionalnost generisanja domena zahvaljujući čemu se napadi sele na nove domene onda kada se ugase stari kompromitovani domeni. Pored toga, iz nove verzije su uklonjeni i exploiti za ranjivosti koje su zakrpljene.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje