Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru

Opisi virusa, 10.12.2012, 09:40 AM

Rootkit ''Necurs'': opasni malver zarazio desetine hiljada računara u novembru

Prema podacima Microsoft-ovog Centra za zaštitu od malvera (Microsoft Malware Protection Center), samo u novembru otkriveno je 83427 računara zaraženih rootkitom "Necurs", višenamenskim malverom koji ugrožava računare sa 32-bitnim i 64-bitnim Windows sistemima. Malver se distribuira u drive-by download napadima sa sajtova koji hostuju ozloglašeni BlackHole exploit kit.

Necurs kao i većina rootkitova je veoma opasan zahvaljujući činjenici da je reč o veoma kompleksnom malveru koji uspešno izbegava detekciju zaštitnog softvera instaliranog na računaru. Malver je osposobljen da preuzima dodatne malvere, onemogući veliki broj antivirusnih programa i instalira backdoor. Osim toga, Necurs omogućava napadačima daljinski pristup zaraženom računaru, monitoring nad aktivnostima korisnika, slanje spama i instalaciju scarewarea. Neke verzije malvera ubacuju kod u sve aktivne procese. Taj kod koji se naziva „mrtav bajt“ ubačen u određene sistemske procese uzrokuje restartovanje računara.

Ipak, ključna karakteristika ovog malvera je sposobnost da izbegne otkrivanje od strane antivirusa što mu obezbeđuje poziciju dugotrajne pretnje na zaraženim računarima.

Drajver malvera se redovno ažurira kako bi rootkit ostao što duže neprimećen na računaru. Pored toga, malver je osposobljen da izbegne Kernel Patch Protection (PatchGuard) u 64-bitnom Windowsu, čija je uloga da spreči bilo koju modifikaciju kernela. Da bi zaobišao PatchGuard na 64-bitnim operativnim sistemima, malver koristi takozvni "test-signing" metod. „TESTSIGNING“ mod omogućava učitavanje probnog digitalnog potpisa. Ako se Windows Vista ili kasnije verzije pokrenu u „TESTSIGNING“ modu, programi mogu pokrenuti drajvere sa ovakvim digitlanim potpisom. Microsoft je ostavio ovu mogućnost programerima drajvera kako bi mogli da testiraju svoje drajvere. Međutim, TESTSIGNING opcija nije uključena „po defaultu“ što znači da se ovakvi drajveri neće učitavati osim ako se ne omogući ovaj mod. Da bi obezbedio učitavanje malicioznog drajvera, Necurs pokreće komandu "bcdedit.exe -set TESTSIGNING ON".

Hakerski alat, Black Hole exploit kit, koji služi za distribuciju rootkita Necurs je jedan od najčešće korišćenih paketa explota na internetu. Komercijalne verzije Black Hole prodaju se na hakerskim forumima. Downloaderi se nalaze na kompromitovanim veb sajtovima i instaliraju exploite koji napadaju ranjivosti u funkcijama i aplikacijama što rezultira infekcijom računara. U septembru je objavljena 2.0 verzija Black Hole exploit kit koja između ostalih poboljšanja prethodne verzije, donosi i funkcionalnost generisanja domena zahvaljujući čemu se napadi sele na nove domene onda kada se ugase stari kompromitovani domeni. Pored toga, iz nove verzije su uklonjeni i exploiti za ranjivosti koje su zakrpljene.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Lažni dekripter za STOP Djvu Ransomware nudi se očajnim ljudima uz obećanje da će im besplatno dešifrovati fajlove. Umesto da svoje fajlove vrat... Dalje