Показано с 1 по 1 из 1.

Flashpoint: Троян Dridex использует новый метод обхода UAC

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296

    Flashpoint: Троян Dridex использует новый метод обхода UAC

    Замеченная недавно кампания по распространению трояна Dridex эффективно использует новый метод обхода контроля учётных записей пользователей (User Account Control, UAC). Об этом предупреждают исследователи в области безопасности Flashpoint.

    В появившейся недавно вредоносной кампании по распространению трояна Dridex был замечен новый метода обхода контроля учётных записей пользователей Windows. Этот метод примечателен тем, что в нем используется recdisc.exe - исполняемый файл восстановления диска в Windows. Также во вредоносной программе были замечены еще две особенности: загрузку вредоносного кода с помощью SPP.dll, использование svchost и spoolsrv для связи с командным центром (C&C-сервер).

    Dridex в этой кампании распространяется как и раньше - через спам-письма с прилагаемыми документами Word, использующими вредоносные макросы, предназначенные для загрузки и выполнения вредоносного кода. После заражения, троянец перемещает себя из текущего местоположения в папку %TEMP%.

    «После того как Dridex укрепился в системе, он пытается всеми доступными способами получить от пользователя информацию для доступа к банк-клиентам. Причем авторы трояна способны создать диалоговое окно запроса, пытаясь сделать его максимально похожим на отправленный банком запрос» - объясняет аналитик Flashpoint Витали Кремец (Vitali Kremez).

    Троян использует утилиту для восстановления диска recdisc.exe для загрузки подмененной библиотеки SPP.dll, такими образом он обходит защиту UAC. Это происходит потому что операционная система отправляет эту программу в белый список для автоматической загрузки.

    Алгоритм действий Dridex выглядит так:
    1. Создает папку Windows\System32\6886
    2. Копирует легитимный файл Windows\System32\recdisc.exe в эту папку
    3. Копирует себя в %APPDATA%\Local\Temp как tmp-файл
    4. Перемещает себя в Windows\System32\6886\SPP.dll
    5. Удаляет файлы из папки Windows\System32 по следующим маскам: wu*.exe и po*.dll
    6. Запускает recdisc.exe и запускает свою копию SPP.dll с правами администратора

    Эксперты также определили, что вредонос взаимодействует по сети через 4431-4433 порты.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Новый метод обхода фильтров?
    От kuznetz в разделе Антиспам
    Ответов: 9
    Последнее сообщение: 04.03.2007, 02:40
  2. Инжект как метод обхода фаерволлов, жив или мертв?
    От celeron в разделе Межсетевые экраны (firewall)
    Ответов: 10
    Последнее сообщение: 05.08.2006, 18:04

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00429 seconds with 17 queries