Bezplikowy trojan Kovter wykryty w rejestrze systemowym

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35568
Reakcje/Polubienia
24598
Miasto
Trololololo
Bezplikowy trojan Kovter wykryty w rejestrze systemowym
Wśród obecnie występujących złośliwych programów możemy wyodrębnić kategorię nazywaną trojanami „bezplikowymi”. Ich główną cechą jest to, że ich złośliwe zasoby są zlokalizowane nie w pliku, ale bezpośrednio w pamięci komputera. Pliki niezbędne do ich działania są zapisywane w różnych kontenerach — na przykład w rejestrze systemowym Windows. Doctor Web przedstawia jeden z takich złośliwych programów, nazwany Trojan.Kovter.297.

Trojan.Kovter jest rozpowszechniany przez inną złośliwą aplikację — Trojan.MulDrop6.42771 , która została zaprojektowana specjalnie do instalowania na komputerach innego malware. Te powiązane ze sobą trojany są wykrywane przez antywirusy Dr.Web jako Trojan.Kovter.297 . Wbrew temu, jak nieskomplikowanie on wygląda, Trojan.MulDrop6.42771 posiada dość wyrafinowaną architekturę. Jego kod zawiera wiele losowych linii i wywołań funkcji, co czyni analizę trojana trudniejszą, a jego biblioteka jest ukryta pod postacią obrazka pomiędzy innymi zasobami wirusa Trojan.MulDrop6.42771 . Trojan potrafi określić, czy na komputerze są uruchomione maszyny wirtualne lub inne narzędzia do debugowania, używane przez analityków bezpieczeństwa do badania próbek malware. Jeśli trojan wykryje dowolne z nich, to natychmiast przerywa swoje działanie. Oprócz tego potrafi wyświetlać na ekranie losowe wiadomości tekstowe i wyłączać mechanizm Kontroli Kont Użytkownika w Windows (User Accounts Control – UAC).



Trojan.MulDrop6.42771 używa siedem różnych sposobów na włączenie swojego autouruchamiania w systemie i potrafi wdrożyć sześć różnych metod swojego uruchomienia się — w jaki sposób trojan zostanie uruchomiony jest określone w pliku konfiguracyjnym. Oprócz tego złośliwa aplikacja potrafi skopiować się do głównych katalogów wszystkich podłączonych napędów i stworzyć plik autorun.inf, rozpowszechniając się w sposób spotykany przy dystrybucji robaków.

Niektóre próbki Trojan.MulDrop6.42771 zawierały wirusa Trojan.Kovter , bezplikowego trojana. Z zasady jest on uruchamiany przez Trojan.MulDrop6.42771 , mimo że posiada swój własny mechanizm autouruchamiania. Złośliwy program tworzy parę wpisów do rejestru systemowego: pierwszy z nich to kod trojana, drugi — skrypt wymagany do jego odszyfrowania i załadowania do pamięci komputera. Nazwy tych wpisów zawierają znaki niemożliwe do odczytania — tym samym nie mogą one być wyświetlone przez program regedit.

Okazuje się, że Trojan.Kovter działa w pamięci komputera bez kopiowania się na dysk w celu pozostania w systemie tak długo, jak to tylko możliwe. Trojan.Kovter może mieć przypisaną etykietkę trojana reklamowego, ponieważ równolegle uruchamia kilka okien Microsoft Internet Explorera, odwiedza strony określone przez twórców wirusa i generuje ruch zapoczątkowany na tych stronach odwołując się do linków prowadzących do reklam i do banerów reklamowych. W ten sposób agresorzy zarabiają pieniądze na programach partnerskich i na reklamodawcach.

Pomimo faktu, że Trojan.Kovter próbuje ukryć swoją aktywność, Antywirusy Dr.Web z powodzeniem wykrywają i usuwają tego trojana. Mimo to Dr.Web zaleca swoim użytkownikom przeprowadzanie bieżących aktualizacji baz wirusowych i regularne skanowanie systemu.
info:chip.pl
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry