Trojanac koji diskriminiše sporije procesore

Opisi virusa, 25.11.2010, 23:52 PM

Trojanac koji diskriminiše sporije procesore

Proizvođač antivirusnog softvera, kompanija F-Secure, objavila je da nova verzija Trojanca Zeus ne inficira sisteme sa procesorima koji rade sa brzinom takta manjom od 2GHz. Kako bi izbegli rano otkrivanje i otežali posao analitičarima virusa, mnogi maliciozni programi prilikom pokretanja pokušavaju da utvrde da li se nalaze u kontrolisanom okruženju. Ako maliciozni program utvrdi da se pokrenuti proces nalazi pod kontrolom dibagera (debugger), on će obustaviti svoju funkciju pa do infekcije kompjutera neće doći.

Standardni način za utvrđivanje prisustva dibagera je da se izvrši analiza tajminga čitanjem Time Stamp Counter komande (RDTSC). Analizirajući varijantu Zbot Trojanca, stručnjaci kompanije F-Secure su otkrili nešto neobično. Ako se tokom programske pauze u trajanju od dve sekunde, zabeleži manje od 232 apdejta tajmera, Trojanac pretpostavlja da je brzina računara smanjena zbog dibagera i odmah prestaje sa radom. Ali sistem sa brzinom takta manjom od 2GHz neće proći ovaj test čak i ako radi punom brzinom - u tom slučaju bot će sa prezirom odustati od ovako “jadnih” sistema.

U kompaniji su proveravali ovu teoriju pokušavajući da zaraze malicioznim programom IBM T42 laptop koji radi na 1,86 Ghz, iz čega je ovaj računar izašao “nepovređen”. Ono što nije sasvim jasno je da li je ovaj efekat nameran ili je samo posledica lošeg proračuna autora virusa.

Zanimljiv sporedni efekat ove anti-dibaging odbrane je da kompjuteri kod kojih infekcija bude uspešna će formirati bot mrežu vrhunskog kvaliteta. Možda diskriminacija koju prema računarima korisnika imaju autori Zbot Trojanca onda i ima nekog smisla?


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje