Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru
Opisi virusa, 10.12.2012, 09:40 AM

Prema podacima Microsoft-ovog Centra za zaštitu od malvera (Microsoft Malware Protection Center), samo u novembru otkriveno je 83427 računara zaraženih rootkitom "Necurs", višenamenskim malverom koji ugrožava računare sa 32-bitnim i 64-bitnim Windows sistemima. Malver se distribuira u drive-by download napadima sa sajtova koji hostuju ozloglašeni BlackHole exploit kit.
Necurs kao i većina rootkitova je veoma opasan zahvaljujući činjenici da je reč o veoma kompleksnom malveru koji uspešno izbegava detekciju zaštitnog softvera instaliranog na računaru. Malver je osposobljen da preuzima dodatne malvere, onemogući veliki broj antivirusnih programa i instalira backdoor. Osim toga, Necurs omogućava napadačima daljinski pristup zaraženom računaru, monitoring nad aktivnostima korisnika, slanje spama i instalaciju scarewarea. Neke verzije malvera ubacuju kod u sve aktivne procese. Taj kod koji se naziva „mrtav bajt“ ubačen u određene sistemske procese uzrokuje restartovanje računara.
Ipak, ključna karakteristika ovog malvera je sposobnost da izbegne otkrivanje od strane antivirusa što mu obezbeđuje poziciju dugotrajne pretnje na zaraženim računarima.
Drajver malvera se redovno ažurira kako bi rootkit ostao što duže neprimećen na računaru. Pored toga, malver je osposobljen da izbegne Kernel Patch Protection (PatchGuard) u 64-bitnom Windowsu, čija je uloga da spreči bilo koju modifikaciju kernela. Da bi zaobišao PatchGuard na 64-bitnim operativnim sistemima, malver koristi takozvni "test-signing" metod. „TESTSIGNING“ mod omogućava učitavanje probnog digitalnog potpisa. Ako se Windows Vista ili kasnije verzije pokrenu u „TESTSIGNING“ modu, programi mogu pokrenuti drajvere sa ovakvim digitlanim potpisom. Microsoft je ostavio ovu mogućnost programerima drajvera kako bi mogli da testiraju svoje drajvere. Međutim, TESTSIGNING opcija nije uključena „po defaultu“ što znači da se ovakvi drajveri neće učitavati osim ako se ne omogući ovaj mod. Da bi obezbedio učitavanje malicioznog drajvera, Necurs pokreće komandu "bcdedit.exe -set TESTSIGNING ON".
Hakerski alat, Black Hole exploit kit, koji služi za distribuciju rootkita Necurs je jedan od najčešće korišćenih paketa explota na internetu. Komercijalne verzije Black Hole prodaju se na hakerskim forumima. Downloaderi se nalaze na kompromitovanim veb sajtovima i instaliraju exploite koji napadaju ranjivosti u funkcijama i aplikacijama što rezultira infekcijom računara. U septembru je objavljena 2.0 verzija Black Hole exploit kit koja između ostalih poboljšanja prethodne verzije, donosi i funkcionalnost generisanja domena zahvaljujući čemu se napadi sele na nove domene onda kada se ugase stari kompromitovani domeni. Pored toga, iz nove verzije su uklonjeni i exploiti za ranjivosti koje su zakrpljene.

Izdvojeno
Nova verzija malvera NodeStealer ne krade samo Facebook lozinke, već i sve druge lozinke iz različitih veb pregledača
.jpg)
Netskope Threat Labs upozorava na napade u kojima se koriste Python skripte za krađu lozinki i podataka iz veb pregledača korisnika Facebooka. Ova k... Dalje
Novi trojanac se širi preko Telegrama i Discorda

Tim za istraživanje pretnji kompanije Uptycs otkrio je početkom avgusta novi malver nazvan QwixxRAT. Trojanac za daljinski pristup (RAT) je privukao... Dalje
Novi ransomware Knight krije se u mejlovima Tripadvisora

Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribu... Dalje
Hakerska grupa ruske obaveštajne službe koristi novi malver za špijunažu ciljeva u istočnoj Evropi

Ruska hakerska grupa BlueBravo iza koje stoji država napada diplomatske entitete širom istočne Evrope inficirajući uređaje ciljeva novim backooro... Dalje
Novi malver inficira macOS računare i krade lozinke iz veb pretraživača

Početkom meseca istraživač bezbednosti iamdeadlyz upozorio je na više lažnih blokčejn igara koje se koriste za inficiranje Windows i macOS raču... Dalje
Pratite nas
Nagrade