Malware GootKit omija Windows Defender, ustawiając wykluczenia ścieżek

[Grandalf]

Gdy program Windows Defender dojrzewa i zostaje ściśle zintegrowany z systemem Windows 10, twórcy szkodliwego oprogramowania tworzą techniki pozwalające uniknąć jego wykrycia. Tak jest w przypadku trojana bankowego GootKit, który wykorzystuje obejście UAC i polecenia WMIC, aby wykluczyć skanowanie wykonywalnego złośliwego oprogramowania przez Windows Defender Antivirus.

GootKit to trojan bankowy, który próbuje ukraść dane uwierzytelniające zainfekowanych użytkowników bankowości internetowej poprzez przechwytywanie wideo i przekierowywanie na fałszywe strony bankowe pod kontrolą atakującego. Ciekawym aspektem tej infekcji jest to, że jest to aplikacja Node JS spakowana w pliku wykonywalnym.

Po przeanalizowaniu ostatniej próbki GootKit

Zaloguj lub Zarejestruj się aby zobaczyć!

, badacz szkodliwego oprogramowania i inżynierii odwrotnej

Zaloguj lub Zarejestruj się aby zobaczyć!

stwierdził, że GootKit próbuje ominąć wykrycie przez Windows Defender, wykluczając ścieżkę szkodliwego oprogramowania ze skanowania.

W kodzie dostarczonym do BleepingComputer przez Kremez możemy zobaczyć, że GootKit najpierw sprawdza, czy Windows Defender jest włączony, wydając następujące polecenie:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!