Šta je novo kod ''bankarskog'' Trojanca Bebloh

Opisi virusa, 25.12.2013, 06:58 AM

Šta je novo kod ''bankarskog'' Trojanca Bebloh

''Bankarski'' Trojanac Bebloh nije nepoznata pretnja, za njega se zna godinama koliko je on predmet interesovanja stručnjaka. Bebloh je daleko iza svojih konkurenata, kao što je malver ZeuS, sa svega 6,3% udela u populaciji bankarskih Trojancima u prvoj polovini ove godine. Razlog verovatno leži u činjenici da ni nove verzije malvera nisu donosile ništa novo, sve do nedavno.

Stručnjaci nemačkog proizvođača antivirusa kompanije G Data analizirali su najnoviju verziju Trojanca nakon što je uočeno da malver više ne stagnira. Šta više, u novembru je Bebloh obezbedio sebi mesto među tri vodeća bankarska Trojanca.

To je bio alarm za stručnjake u kompananiji G Data, koji su pokušali da otkriju šta se dešava sa malverom.

Poređenjem nove i stare verzije malvera otkriveno je da su 75% funkcija u dvema verzijama iste, 4,5% funkcija u staroj verziji su uklonjene ili zamenjene a 20,9% su funkcije kojih ima samo u novoj verziji malvera.

Novina u novoj verziji malvera tiče se opstanka malvera na računaru, odnosno pitanja kako malver “preživljava” nakon restartovanja računara.

Ubrzo pošto je sistem inficiran malverom, Bebloh se ubacuje u explorer.exe a originalni izvršni fajl koji sadrži Bebloh se briše. U načelu ovo je uobičajena procedura za sakrivanje tačke unosa malvera u sistem. Ono što je zanimljivo je činjenica da se malver ne premešta u drugi folder i nema unosa za automatsko pokretanje. Malver se više ne može naći na hard disku, i konvencionalni antivirusni skeneri čija se detekcija oslanja na signature ne bi mogli da pronađu infekciju skeniranjem hard diska. Dok malver radi sakriven u explorer.exe, čak ni maliciozi proces neće biti otkriven.

Međutim, da bi opstao posle restartovanja sistema Bebloh koristi zanimljiv trik.

Kada Bebloh dobije poruku u nevidljivom prozoru koji generiše explorer.exe da će sistem biti ugašen, on upisuje svoj izvršni kod izvan explorer.exe na hard disk, i generiše se autostart unos koji upućuje na izvršni fajl. Zbog toga praktično nema vidljivih tragova u registry-ju ili na hard disku koji bi ukazali na infekciju.

Igra mačke i miša Trojanca i antivirusa postaje još komplikovanija s obzirom da autostart unos ne ukazuje direktno na izvršni fajl već se oslanja na link (.lnk). Pored toga, naziv fajla koji koristi Bebloh se generiše nasumično svaki put, tako da malver ima različito ime svaki put kada se sistem pokrene.

Poređenje koda nove i stare verzije malvera pokazalo je da se Bebloh nije promenio mnogo kada su u pitanju njegove osnovne funkcije kao bankarskog Trojanca koji još uvek pokušava da krade podatke korisnika. Međutim, promene u kodu koje omogućavaju malveru da izbegne detekciju antivirusa pokazuju da autori malvera nastavljaju da pronalaze nove načine da dođu do plena još tiše i efikasnije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje