Trojanac koji diskriminiše sporije procesore

Opisi virusa, 25.11.2010, 23:52 PM

Trojanac koji diskriminiše sporije procesore

Proizvođač antivirusnog softvera, kompanija F-Secure, objavila je da nova verzija Trojanca Zeus ne inficira sisteme sa procesorima koji rade sa brzinom takta manjom od 2GHz. Kako bi izbegli rano otkrivanje i otežali posao analitičarima virusa, mnogi maliciozni programi prilikom pokretanja pokušavaju da utvrde da li se nalaze u kontrolisanom okruženju. Ako maliciozni program utvrdi da se pokrenuti proces nalazi pod kontrolom dibagera (debugger), on će obustaviti svoju funkciju pa do infekcije kompjutera neće doći.

Standardni način za utvrđivanje prisustva dibagera je da se izvrši analiza tajminga čitanjem Time Stamp Counter komande (RDTSC). Analizirajući varijantu Zbot Trojanca, stručnjaci kompanije F-Secure su otkrili nešto neobično. Ako se tokom programske pauze u trajanju od dve sekunde, zabeleži manje od 232 apdejta tajmera, Trojanac pretpostavlja da je brzina računara smanjena zbog dibagera i odmah prestaje sa radom. Ali sistem sa brzinom takta manjom od 2GHz neće proći ovaj test čak i ako radi punom brzinom - u tom slučaju bot će sa prezirom odustati od ovako “jadnih” sistema.

U kompaniji su proveravali ovu teoriju pokušavajući da zaraze malicioznim programom IBM T42 laptop koji radi na 1,86 Ghz, iz čega je ovaj računar izašao “nepovređen”. Ono što nije sasvim jasno je da li je ovaj efekat nameran ili je samo posledica lošeg proračuna autora virusa.

Zanimljiv sporedni efekat ove anti-dibaging odbrane je da kompjuteri kod kojih infekcija bude uspešna će formirati bot mrežu vrhunskog kvaliteta. Možda diskriminacija koju prema računarima korisnika imaju autori Zbot Trojanca onda i ima nekog smisla?


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje