Вредоносные разработчики Dyre добавляют код для уклонения от обнаружения аналитическими инструментами

dyre

Потому, что больше компаний развертывает разработку песочницы для ловли передового вредоносного ПО, довольно много атакующих додают код к своим программам, чтобы найти, в случае если наступление трудится в виртуальной машине.Отчет отыскал, что вредоносное ПО, известное как Dyre, проверяет на число обработки ядер в совокупности, в которой это трудится.

Тогда как практически все современные компьютеры имеют больше чем одно ядро обработки, виртуальные автомобили либо песочницы, которые вредоносные исследователи применяют, чтобы найти и проанализировать вирусы почти всегда лишь, трудятся на одноядерном, чтобы быть более действенными. Код несложен и легок побежденный – но у атакующих будет власть, пока защитники не смогут поменять собственные программы, сообщил Авив Рэфф, основной инженер для Seculert, eWEEK.Преступники сзади известного инструмента, применяемого для кражи данных и информации о банковском счете, обновили код для добавления главной, но действенной, функции для уклонения от вредоносных совокупностей анализа, согласно отчету, выпущенному компанией безопасности Seculert один мая.Возрастающее включение таких способов говорит о том, что, тогда как больше компаний применяет песочницы для тестирования возможно злонамеренных файлов, другие способы будут приняты также, сообщил Рэфф Секьюлрта.

Тогда как подсчет числа обработки ядер, применяемых ОС, есть несложным способом для обнаружения поигравшей в песочнице среды, это действенно. В апреле две тысячи пять Intel выпустил первый двухъядерный процессор, Экстремальный Выпуск восемьсот сорок Процессора Pentium, что включил увеличенную вычислительную мощность, значительно не увеличивая потребление энергии. Сейчас, главные процессоры Intel имеют два либо четыре ядра, и практически все компьютерные совокупности применяют многократные ядра.Вредоносное ПО в большинстве случаев поставляется посредством ботнета спама, известного как Cutwail, что первоначально применял связи для загрузки вредоносного ПО, сохраненного в облачных сервисах.

Сейчас, спам Cutwail установит загрузчик, известный как Upatre, что тогда устанавливает Дайра. Дайр применяет веб-вводить-отрывки кода, что может засунуть веб-объекты в страницы – для кражи банковской информации от жертв.Вредоносное ПО заразило по крайней мере двенадцать 000 целей, говорилось в докладе.

Несколько сзади Дайра, что был также назван Дайр Уолф компаниями безопасности, фокусами на корпоративных бухгалтериях для громадных выплат и похитил больше чем пятьсот 000$, согласно безопасности IBM.Вредоносное ПО Dyre Сейчай наверху кучи ворующего деньги вредоносного ПО.

Тогда как технически ворующая данные программа, Dyre есть также базой одного из основных банковских ботнетов, согласно недавнему отчету управляемой компании безопасности Делл Секьюруоркс.Когда защитники поменяли собственные способы анализа – вероятно пробивание пенальти к эффективности – атакующие могут переместиться в другие способы для обнаружения виртуальных сред, которые имели возможность указать, что их код трудится в песочнице. Неспециализированные способы для обнаружения виртуальной среды включают поиск имён модуля и определённого процесса, применение долгих команд, и идентификация тайных коммуникационных способов раньше отправляла сообщения в хостовую ОС.

«Они вправду не должны были делать многого, и это легко, три либо четыре строки кода», сообщил он. «Это весьма легко и действенно, и, для устранения неприятностей, производителей сред песочницы, будет требоваться время».«Легко наличие одной лишь песочницы с сегодняшними угрозами слишком мало», сообщил он. «У Вас будут дополнительные средства управления компенсацией».


TCNMS.RU