FireEye сообщил о новом вредоносном коде

03
FireEye, поставщик решений для обеспечения ИТ-безопасности, обнаружил новый вредоносный троянец (Trojan.APT.BaneChat). Который перехватывает нажатия клавиш, следит за курсом мыши и отслеживает действия пользователя за компьютером. Распространяется код Trojan.APT.BaneChat через документ Word специально для этого сконструированный. С помощью мошеннического электронного письма доставляется на компьютер пользователя. Чаще всего рассылаемый документ носит имя Islamic Jihad.doc. Чонг Рон Ва, ИТ-эксперт FireEye, подозревает, что вредоносный документ был специально разработан и первоначально использован для атаки режимов правительства стран Ближнего Востока и Центральной Азии.

Работа злонамеренного документа осуществляется в несколько пошаговых этапов. Первым этапом документ скачивается на компьютер и открывается. Далее анализатор кода определяет операционную систему ПК, не является ли она виртуализованной. Определяет запуск Word, не открыт ли он в изолированный среде, и проверяет, нет ли в наличие автоматизированной системы, отвечающей за детектирования вредоносных программ.

При выполнении условий запускается следующий этап. Вторым э этап вредоносная программа запускает систему слежения за курсором мыши и перехватывает данные о положении и кликах. После трёх первых кликов, которые Траян пропускает, идет попытка подгрузить вредоносное программное обеспечения на целевой компьютер, заранее замаскированное под JPG-файл.

Уход от антивирусных программ осуществляется несколькими методами. Например, при загрузке файла BaneChat,код сбрасывает на персональный компьютер дроппер с зашифрованным к нему путём через URL ow.ly(сервис анонимизации). URL-анонимайзер позволяет скрыть путь к дропперу, чтобы тот не попал в черный список системы фильтрации и загрузить вредоносный код в сеть. Подобно этому, с динамической системой IP-адресов, код JPG грузится с сервера. Также BaneChat поддерживает несколько команд по выполнению нестандартных действий.

Создаваемые для своих потребностей файлы GoogleUpdate.exe для заблуждения пользователя код размещает в C:\ProgramData\Google2\. Легальные файлы Google располагаются по адресу C:\Program Files\Google\Update\. Также код размещает ярлык в автозапуск для запуска при старте системы. Все собранные кодом данные передаются на удаленный сервер, который находится под контролем злоумышленника.

Добавить комментарий


Защитный код
Обновить

« Пред.   След. »
Приснился сон, хочешь расшифровать сноведение сонник Юноны подскажет и поможет.
Инвесторы рассказывают e3investment ru отзывы вкладчиков.


Каким будет My.com. от Mail.Ru Group Будущий международный проект Mail.Ru Group обещает быть интересным. Про некоторые подробности проекта стало известно....Readmore


LifeHack - взламываем мироздание


Выбор обложки для книги о Стиве Джобсе

 В интернете появился новый сайт посвященный Стиву Джобсу, а переводу на русский язык автобиографии создателя Apple, написанн...



Важно: Истинный Бормалей и последние новости блога

Пришло время осветить события, о которых умалчивал блог с 12 августа 2010 года. И затронуть проблемную ситуацию с истинным Бормал...



Теоретические seo вопросы


TDS – верный друг и напарник!

Пару дней назад подписался на rss бомжеленты, думаю интересно наверно, почитаю уму-разуму наберусь. Мдя, скажу я Вам, такой жести ...



Как подбирать ключевые слова

Одна из основных проблем при поиске правильных ключевых слов – это правильный подбор слов. И действительно, это не всегда т...



Авторизация

Вход / Регистрация



Заработок в интернете — это не миф, а реальность, но работать для этого надо много и упорно. Есть ли заработок в интернете, нет ли заработка в интернете Вы не узнаете пока сами не начнете работать и зарабатывать в интернете.

Блог SEO Философа Bormaley

Twitter Bormaley

В SEO денег НЕТ

При цитировании и использовании любых материалов гиперссылка на сайт Bormaley.com обязательна. Републикация авторских материалов возможна только после письменного согласования.
0

Статистика