Модифицированный троян Dyre намного сложнее обнаружить

Создатели банковского трояна Dyre начали использовать новые методы для того, чтобы вредоносное ПО было сложнее обнаружить и удалить. По данным ИБ-исследователей из IBM, вирусописатели решили изменить механизм устойчивости и заменить ключи запуска в реестре Windows на диспетчеризацию задач.

Реестр по-прежнему будет содержать инструкцию, но файлы работающие с помощью диспетчеризации задач можно найти в заданной Windows папке задач, откуда их можно извлечь по мере необходимости. Dyre, использующий диспетчеризацию задач, становится более устойчив к удалению и обнаружению антивирусными программами. Данная модификация также позволяет хакерам выбирать, когда и как часто перезапускать вредоносное ПО, объясняет ИБ-эксперт из IBM Trusteer Ор Сафран (Or Safran).

Еще одно изменение Dyre связано с именами, предоставляемыми конфигурационным файлам. Давая этим файлам полупроизвольные имена, злоумышленники надеются предотвратить обнаружение вредоносного ПО автоматизированными системами безопасности, призванными выявлять и удалять вредоносные файлы.

ИБ-исследователи сообщают, что несмотря на то, что полупроизвольные файловые имена делают достаточно сложным обнаружение Dyre, знание алгоритма, использующегося для выбора данных имен, может реально помочь в выявлении вредоноса.

Стоит отметить, что популярность Dyre выросла за последнее время на 125%, подтверждая, что интерес мошенников к online-банкингу увеличивается с каждым днем. Пользователи сервисов online-банкинга из Европы и Северной Америки все чаще становятся жертвами кибератак, в которых злоумышленники используют Dyre.

Источник: securitylab.ru

Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s