Šta je novo kod ''bankarskog'' Trojanca Bebloh

Opisi virusa, 25.12.2013, 06:58 AM

Šta je novo kod ''bankarskog'' Trojanca Bebloh

''Bankarski'' Trojanac Bebloh nije nepoznata pretnja, za njega se zna godinama koliko je on predmet interesovanja stručnjaka. Bebloh je daleko iza svojih konkurenata, kao što je malver ZeuS, sa svega 6,3% udela u populaciji bankarskih Trojancima u prvoj polovini ove godine. Razlog verovatno leži u činjenici da ni nove verzije malvera nisu donosile ništa novo, sve do nedavno.

Stručnjaci nemačkog proizvođača antivirusa kompanije G Data analizirali su najnoviju verziju Trojanca nakon što je uočeno da malver više ne stagnira. Šta više, u novembru je Bebloh obezbedio sebi mesto među tri vodeća bankarska Trojanca.

To je bio alarm za stručnjake u kompananiji G Data, koji su pokušali da otkriju šta se dešava sa malverom.

Poređenjem nove i stare verzije malvera otkriveno je da su 75% funkcija u dvema verzijama iste, 4,5% funkcija u staroj verziji su uklonjene ili zamenjene a 20,9% su funkcije kojih ima samo u novoj verziji malvera.

Novina u novoj verziji malvera tiče se opstanka malvera na računaru, odnosno pitanja kako malver “preživljava” nakon restartovanja računara.

Ubrzo pošto je sistem inficiran malverom, Bebloh se ubacuje u explorer.exe a originalni izvršni fajl koji sadrži Bebloh se briše. U načelu ovo je uobičajena procedura za sakrivanje tačke unosa malvera u sistem. Ono što je zanimljivo je činjenica da se malver ne premešta u drugi folder i nema unosa za automatsko pokretanje. Malver se više ne može naći na hard disku, i konvencionalni antivirusni skeneri čija se detekcija oslanja na signature ne bi mogli da pronađu infekciju skeniranjem hard diska. Dok malver radi sakriven u explorer.exe, čak ni maliciozi proces neće biti otkriven.

Međutim, da bi opstao posle restartovanja sistema Bebloh koristi zanimljiv trik.

Kada Bebloh dobije poruku u nevidljivom prozoru koji generiše explorer.exe da će sistem biti ugašen, on upisuje svoj izvršni kod izvan explorer.exe na hard disk, i generiše se autostart unos koji upućuje na izvršni fajl. Zbog toga praktično nema vidljivih tragova u registry-ju ili na hard disku koji bi ukazali na infekciju.

Igra mačke i miša Trojanca i antivirusa postaje još komplikovanija s obzirom da autostart unos ne ukazuje direktno na izvršni fajl već se oslanja na link (.lnk). Pored toga, naziv fajla koji koristi Bebloh se generiše nasumično svaki put, tako da malver ima različito ime svaki put kada se sistem pokrene.

Poređenje koda nove i stare verzije malvera pokazalo je da se Bebloh nije promenio mnogo kada su u pitanju njegove osnovne funkcije kao bankarskog Trojanca koji još uvek pokušava da krade podatke korisnika. Međutim, promene u kodu koje omogućavaju malveru da izbegne detekciju antivirusa pokazuju da autori malvera nastavljaju da pronalaze nove načine da dođu do plena još tiše i efikasnije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje