Новости Software

Cisco исследовала новый коварный вирус

Компьютерные злоумышленники и разработчики систем защиты постоянно ищут способы обхитрить друг друга. Усовершенствованные инструменты статичного, динамичного и автоматизированного анализа сделали жизнь атакующих на порядок сложнее, так как теперь очень непросто вторгнуться в систему, оставаясь при этом незамеченным. В свою очередь, хакеры активно разрабатывали методы вторжения, максимально усложняющие анализ.

Cisco

Cisco

Последним ярким образцом такого подхода является зловредная программа, идентифицированная исследовательской группой Talos компании Cisco как malware с именем Rombertik. Обратная инженерия кода показала, что в этой программе реализовано несколько слоёв маскировки и функциональности, препятствующей успешному анализу и распознаванию. Статический и динамический анализ оказался трудно выполнимым. При обнаружении образца он разрушает MBR-запись.

Cisco

Cisco

Обратная инженерия кода Rombertik помогла Talos лучше понять, как злоумышленники меняют методы для обхода обнаружения и усложнения анализа. Cisco уверена, что исследование Rombertik позволит ей улучшить свои продукты защиты.

Rombertik является сложной программой, которая внедряется в браузер и считывает персональную информацию пользователя. В отличие от Dyre, который специализируется на сборе банковской информации, Rombertik «впитывает» всё без разбора. Для внедрения в систему используются преимущественно методы социальной инженерии. Пример приведён ниже.

Cisco

Cisco

Вирус оказался довольно коварным. Программа проверяет, не заметили ли её или начали анализировать, и если всё проходит успешно, она начинает шпионить за пользователем. В случае обнаружения Rombertik пытается разрушить MBR-запись и перезагрузить компьютер. Если ему это не удаётся, то вирус шифрует и делает недоступной папку документов. Весь жизненный цикл вируса изображен на рисунке.

Cisco

Cisco

Распакованный Rombertik занимает всего 28 Кбайт. А архив «весит» 1264 Кбайт. Таким способом вирус пытается запутать инструменты анализа, ведь 97 % строчек кода похожи на реальный полезный файл. При анализе очень сложно обнаружить вредоносную сигнатуру. Кроме того, используются другие методы, подробнее о которых можно прочитать здесь.

Несмотря на всю сложность и коварность вируса, применение простых правил безопасности позволит не допустить угрозу его вторжения. Для этого достаточно не загружать вложения от подозрительных источников, использовать блокирование некоторых типов файлов, приходящих по электронной почте.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Dell обновит доступный игровой ноутбук G5 15 — он получит Core i5-10200 и GeForce GTX 1650 при цене $899 8 мин.
Huawei вложит в российских партнёров около $8,5 млн 14 мин.
Обсерватория «Спектр-РГ» зафиксировала самые крупные остатки сверхновой в Млечном Пути 53 мин.
Xiaomi выпустит первый игровой смартфон Redmi — он получит платформу MediaTek 57 мин.
Для суперкомпьютеров будущего учёные предложили ненастоящие молекулы из несуществующих частиц 59 мин.
Представлены флагманы Meizu 18 и Meizu 18 Pro — яркие 120-Гц дисплеи, Snapdragon 888 и цена от $680 2 ч.
Facebook подтвердила, что выпустит умные очки Ray-Ban до конца года, но призвала не ждать от них многого 2 ч.
HPE обнародовала квартальные результаты: подразделение Intelligent Edge наращивает выручку 2 ч.
Учёные из Сколково запатентовали анод для перспективных калийионных аккумуляторов 2 ч.
Samsung ведёт переговоры с тремя штатами США по поводу строительства нового полупроводникового производства 3 ч.