[slikom] dva malvera pomažu jedan drugom opstanak na zaraženom računaru
- From: "Gradimir Kragic" <bastono@xxxxxxxx>
- To: "Lista SliKom" <slikom@xxxxxxxxxxxxx>
- Date: Tue, 2 Jul 2013 06:02:57 +0200
Kada dva malvera pomažu jedan drugom opstanak na zaraženom računaru
Tema: Opisi virusa.
Objavljeno: 01.07.2013. Informacija.rs. 11:28 AM
Kada dva malvera pomažu jedan drugom opstanak na zaraženom računaru
Stručnjaci Microsoft-ovog Centra za zaštitu od malvera otkrili su
i analizirali zanimljivu simbiozu dva maliciozna programa koji pomažu
jedan drugom da opstanu na računaru i otežaju antivirusima njihovo
uklanjanje.
Dva malvera sarađuju preuzimajući naizmenično neznatno drugačije verzije
onog drugog da bi izbegli detekciju od strane antivirusa, prouzrokujući
velike
probleme korisnicima računara.
Jedan od ovih programa je malver nazvan Vobfus, koji je otkriven prvi put u
septembru 2009. godine. Reč je o downloader-u, programu koji preuzima druge
maliciozne programe.
Kada Vobfus zarazi računar, on sa udaljenog C&C servera (servera za komandu
i kontrolu) preuzima maliciozni program nazvan Beebone, koji je takođe
downloader.
Kad se nađu na istom računaru, ova dva programa počinju da rade zajedno,
preuzimajući verzije onog drugog, i to nove verzije koje antvirus na
računaru
možda ne može da detektuje odmah.
Ovakav odnos između malvera je razlog zbog kojeg je Vobfus toliko otporan
na antviruse, obašnjavaju u Microsoft-u. Ažuirani antivirusi mogu recimo
detektovati
jednu verziju malvera koja je prisutna na sistemu ali to ne mora da bude
slučaj i sa verzijama koje se kasnije preuzimaju. U slučaju tipičnog
samoažurirajućeg
malvera, kada se malver otkrije na računaru i jednom ukloni, to je kraj
infekcije, tako da ne postoji mogućnost preuzimanja novijih verzija
malvera. Međutim,
u slučaju Vobfus-a, čak i ako se malver otkrije i ukloni, računar može
ponovo biti zaražen jer infekcija malverom Beebone može ostati neprimećena,
tako
da ovaj malver kasnije može preuzeti novu verziju Vobfus-a. Ovakav pristup
malvera Vobfus i Beebone u mnogim slučajevima garantuje da će računar
ostati
zaražen.
Vobfus je takođe i crv koji se kopira na prenosive diskove u folderu
%userprofile%, koristeći nasumično izabrane nazive fajlova ili nazive kao
što su password.exe,
porn.exe, secret.exe, sexy.exe, subst.exe i video.exe. On koristi autorun
funkciju koja, ako je omogućena na računaru, omogućava Vobfus-u da se
automatski
pokrene i zarazi računar. Vobfus se pokreće svaki put kada se pokrene
Windows. Pošto se nađe na računaru, Vobfus kontaktira C&C server da bi
dobio šifrovane
instrukcije o tome odakle da preuzme Beebone koji kasnije preuzima
različite verzije Vobfus-a i brojne druge pretnje kao što su malveri iz
familija Zbot,
Sirefef, Fareit, Nedsym i Cutwail.
S obzirom da je jedan od načina infekcije
drive-by download
napad, vodite računa o tome da browser ali i ostali programi instalirani
na računaru budu ažurirani, a mogući način prevencije infekcije je i
isključivanje autorun funkcionalnosti,
kažu iz Microsoft-a.
Podaci o listi:
1. Web strana: http://www.slikom.org/ml/slikom.html
2. RSS/feed: http://www.slikom.info/feed.xml
3. Adresa za prijavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati: subscribe
4. Adresa za odjavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati:
unsubscribe
5. Adresa moderatora: slikom-moderators@xxxxxxxxxxxxx
Other related posts:
- » [slikom] dva malvera pomažu jedan drugom opstanak na zaraženom računaru - Gradimir Kragic