Trojanac koji diskriminiše sporije procesore

Opisi virusa, 25.11.2010, 23:52 PM

Proizvođač antivirusnog softvera, kompanija F-Secure, objavila je da nova verzija Trojanca Zeus ne inficira sisteme sa procesorima koji rade sa brzinom takta manjom od 2GHz. Kako bi izbegli rano otkrivanje i otežali posao analitičarima virusa, mnogi maliciozni programi prilikom pokretanja pokušavaju da utvrde da li se nalaze u kontrolisanom okruženju. Ako maliciozni program utvrdi da se pokrenuti proces nalazi pod kontrolom dibagera (debugger), on će obustaviti svoju funkciju pa do infekcije kompjutera neće doći.

Standardni način za utvrđivanje prisustva dibagera je da se izvrši analiza tajminga čitanjem Time Stamp Counter komande (RDTSC). Analizirajući varijantu Zbot Trojanca, stručnjaci kompanije F-Secure su otkrili nešto neobično. Ako se tokom programske pauze u trajanju od dve sekunde, zabeleži manje od 232 apdejta tajmera, Trojanac pretpostavlja da je brzina računara smanjena zbog dibagera i odmah prestaje sa radom. Ali sistem sa brzinom takta manjom od 2GHz neće proći ovaj test čak i ako radi punom brzinom - u tom slučaju bot će sa prezirom odustati od ovako “jadnih” sistema.

U kompaniji su proveravali ovu teoriju pokušavajući da zaraze malicioznim programom IBM T42 laptop koji radi na 1,86 Ghz, iz čega je ovaj računar izašao “nepovređen”. Ono što nije sasvim jasno je da li je ovaj efekat nameran ili je samo posledica lošeg proračuna autora virusa.

Zanimljiv sporedni efekat ove anti-dibaging odbrane je da kompjuteri kod kojih infekcija bude uspešna će formirati bot mrežu vrhunskog kvaliteta. Možda diskriminacija koju prema računarima korisnika imaju autori Zbot Trojanca onda i ima nekog smisla?