Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru

Opisi virusa, 10.12.2012, 09:40 AM

Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru

Prema podacima Microsoft-ovog Centra za zaštitu od malvera (Microsoft Malware Protection Center), samo u novembru otkriveno je 83427 računara zaraženih rootkitom "Necurs", višenamenskim malverom koji ugrožava računare sa 32-bitnim i 64-bitnim Windows sistemima. Malver se distribuira u drive-by download napadima sa sajtova koji hostuju ozloglašeni BlackHole exploit kit.

Necurs kao i većina rootkitova je veoma opasan zahvaljujući činjenici da je reč o veoma kompleksnom malveru koji uspešno izbegava detekciju zaštitnog softvera instaliranog na računaru. Malver je osposobljen da preuzima dodatne malvere, onemogući veliki broj antivirusnih programa i instalira backdoor. Osim toga, Necurs omogućava napadačima daljinski pristup zaraženom računaru, monitoring nad aktivnostima korisnika, slanje spama i instalaciju scarewarea. Neke verzije malvera ubacuju kod u sve aktivne procese. Taj kod koji se naziva „mrtav bajt“ ubačen u određene sistemske procese uzrokuje restartovanje računara.

Ipak, ključna karakteristika ovog malvera je sposobnost da izbegne otkrivanje od strane antivirusa što mu obezbeđuje poziciju dugotrajne pretnje na zaraženim računarima.

Drajver malvera se redovno ažurira kako bi rootkit ostao što duže neprimećen na računaru. Pored toga, malver je osposobljen da izbegne Kernel Patch Protection (PatchGuard) u 64-bitnom Windowsu, čija je uloga da spreči bilo koju modifikaciju kernela. Da bi zaobišao PatchGuard na 64-bitnim operativnim sistemima, malver koristi takozvni "test-signing" metod. „TESTSIGNING“ mod omogućava učitavanje probnog digitalnog potpisa. Ako se Windows Vista ili kasnije verzije pokrenu u „TESTSIGNING“ modu, programi mogu pokrenuti drajvere sa ovakvim digitlanim potpisom. Microsoft je ostavio ovu mogućnost programerima drajvera kako bi mogli da testiraju svoje drajvere. Međutim, TESTSIGNING opcija nije uključena „po defaultu“ što znači da se ovakvi drajveri neće učitavati osim ako se ne omogući ovaj mod. Da bi obezbedio učitavanje malicioznog drajvera, Necurs pokreće komandu "bcdedit.exe -set TESTSIGNING ON".

Hakerski alat, Black Hole exploit kit, koji služi za distribuciju rootkita Necurs je jedan od najčešće korišćenih paketa explota na internetu. Komercijalne verzije Black Hole prodaju se na hakerskim forumima. Downloaderi se nalaze na kompromitovanim veb sajtovima i instaliraju exploite koji napadaju ranjivosti u funkcijama i aplikacijama što rezultira infekcijom računara. U septembru je objavljena 2.0 verzija Black Hole exploit kit koja između ostalih poboljšanja prethodne verzije, donosi i funkcionalnost generisanja domena zahvaljujući čemu se napadi sele na nove domene onda kada se ugase stari kompromitovani domeni. Pored toga, iz nove verzije su uklonjeni i exploiti za ranjivosti koje su zakrpljene.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

Ransomware Clop isključuje Windows Defender i uklanja Malwarebytes anti-ransomware zaštitu

U mnoštvu ransomwarea Clop CryptoMik Ransomware izdvaja se po tome što pokušava da onemogući Windows Defender, kao i da ukloni Microsoft Security... Dalje

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Lažno ažuriranje za Windows vodi do ransomwarea Cyborg

Istraživači iz kompanije Truswave upozorili su na emailove koji sadrže fajl predstavljen kao važno ažuriranje za Windows, a koji zapravo dovodi d... Dalje

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje