Объедините вредоносные диски повреждений Rombertik предотвратить анализ кода

Вредоносное ПО, которое пробует похитить данные о Веб-пользователях и сайтах, удаляет главную загрузочную запись – либо все пользовательские файлы – для предотвращения обнаружения, согласно анализу Cisco.В то время как вредоносное ПО устанавливает себя, ПО осуществляет пару антианалитических испытаний, пробуя выяснить, есть ли совокупность, в которой это трудится, аналитической средой. В случае если последняя проверка прекратила трудиться, вредоносное ПО удаляет основную загрузочную запись либо MBR, что требуется, чтобы верно запускать компьютерную совокупность.Программа также пробует пережить автоматизированный анализ при записи байта в память около миллиарда раз.

Автоматизированные совокупности довольно часто разрабатываются для исполнения в течение ограниченного отрезка времени, чтобы действенно обработать как возможно больше файлов. Способ записи данных так много раз имел возможность возможно уничтожить кое-какие среды, заявила Cisco.Атакующие принимают все более и поболее злонамеренную тактику для уклонения от аналитических упрочнений исследователей в области безопасности с не так давно найденной ворующей эти программой, стирающей основную загрузочную запись твёрдого диска совокупности, если она обнаруживает показатели аналитической среды, согласно отчету, опубликованному Cisco четыре мая.

На протяжении попытки установки Ромбртик пробует многократно выяснить, имело возможность ли бы это быть в аналитической среде. Программа имеет довольно много неиспользованного кода, включая изображения и невостребованные функции, которые вредоносные авторы включали, чтобы постараться скрыть функциональность вредоносного ПО, заявили исследователи Cisco.

Rombertik распределяется при помощи разных кампаний спама, довольно часто скрываемых как файл PDF. В итоге присоединение есть исполняемым файлом экранной заставки, что, в случае если пользователь открывает бинарный файл, пробует трудиться на совокупности.

Распространенность вредоносного ПО не Сейчай известна.«Если бы аналитический инструмент постарался зарегистрировать все девятьсот шестьдесят миллионов руководств по записи, то издание рос бы до более чем сто гигабайтов», сообщили исследователи. «Даже если бы аналитическая среда была способна к обработке издания, так громадного, то это приняло бы двадцать пять минут лишь для записи так весьма данных в обычный жесткий диск. Это усложняет анализ».Атакующие все более и более пробуют мешать тому, чтобы защитники разбирали программы и инструменты, которые они применяют с целью проведения преступника и разведопераций.

В недавнем анализе исследователях с компанией безопасности Seculert счел вариант банковского дела Dyre троянским, что применял простое определение размеров порубки число обработки ядер – чтобы найти, в случае если это было в виртуальной среде.«Занимательный бит с Rombertik – то, что мы видим, что вредоносные авторы пробуют быть уклончивым неправдоподобием», сообщил Александр Чю, исследователь угрозы с Cisco, в почтовом интервью с eWEEK. «В случае если Rombertik обнаруживает, он анализируется, трудясь в памяти, он деятельно пробует повредить MBR компьютера, на котором он трудится. Это не неспециализированное поведение».Вредоносное ПО, названный Rombertik, попытки и системы компромиссов похитить данные, такую как учетные эти входа в персональные данные и систему, от сеансов браузера жертвы, заявили исследователи с группой интеллектуальной информационной безопасности Cisco Talos в отчете.

«На самом высоком уровне Rombertik есть сложной частью вредоносного ПО, которое создано для сцепления в браузер пользователя для чтения учетных данных, и вторая уязвимая информация для экс-фильтрации атакующему руководила сервером, подобным Dyre», заявили исследователи Cisco в отчете. «Но в отличие от Dyre, что был создан для назначения для банковской информации, Rombertik собирает данные от всех веб-сайтов неразборчивым методом».В то время как это достигает собственной последней проверки, Ромбртик удаляет MBR либо – в случае если это неспособно к – это удаляет все файлы в учетной записи пользователя, согласно данным Cisco.


TCNMS.RU