13.11.2011, 16:20
Analizując potencjalnie niebezpieczne linki z Brazylii, Dmitry Bestuzhev z laboratorium firmy Kaspersky, odkrył bardzo interesującą grupę plików o rożnych rozmiarach lecz bardzo podobnej strukturze.
Początkowo sądził, że pliki z rozszerzeniem jpeg (chociaż ich struktura wskazuje na pliki BMP) są jakimś rodzajem steganografii.
Dokładniejsza analiza wykazała jednak, że zawierają one zaszyfrowane malware oraz nieco dodatkowych danych a metodą wykorzystywaną do szyfrowania malware jest
Używając tej techniki, twórcy szkodliwego oprogramowania mogą upiec kilka pieczeni na jednym ogniu:
- po pierwsze, użycie technik szyfrujących może spowodować nieprawidłowe działanie systemów ochronnych, gdyż plik po analizie przez program antywirusowy będzie sprawiał wrażenie "czystego"
- po drugie, administratorzy witryn, na których znajdują się pliki zawierające zaszyfrowane szkodliwe oprogramowanie, nie będą w stanie ich zidentyfikować i usunąć
- po trzecie, niektórzy badacze malware nie będą mieli wystarczająco czasu lub/i kompetencji do dokładnej analizy szkodników
Pewnie zastanawiacie się w jaki sposób dochodzi do infekcji, skoro jest to tylko z pozoru niewinny plik graficzny?
Jak wyjaśnia Dmitry Bestuzhev, istnieje również plik .exe, którego zadaniem jest pobranie ze strony web pliku konfiguracyjnego zawierającego klucze deszyfrujące niezbędne do "pobudzenia" szkodnika do działania.
Nowe zagrożenie zostało sklasyfikowane i jest rozpoznawane przez produkty firmy Kaspersky jako Trojan-Banker.Win32.Delf.vh .
Źródło:
Początkowo sądził, że pliki z rozszerzeniem jpeg (chociaż ich struktura wskazuje na pliki BMP) są jakimś rodzajem steganografii.
Dokładniejsza analiza wykazała jednak, że zawierają one zaszyfrowane malware oraz nieco dodatkowych danych a metodą wykorzystywaną do szyfrowania malware jest
[Aby zobaczyć linki, zarejestruj się tutaj]
(eng. block cipher).Używając tej techniki, twórcy szkodliwego oprogramowania mogą upiec kilka pieczeni na jednym ogniu:
- po pierwsze, użycie technik szyfrujących może spowodować nieprawidłowe działanie systemów ochronnych, gdyż plik po analizie przez program antywirusowy będzie sprawiał wrażenie "czystego"
- po drugie, administratorzy witryn, na których znajdują się pliki zawierające zaszyfrowane szkodliwe oprogramowanie, nie będą w stanie ich zidentyfikować i usunąć
- po trzecie, niektórzy badacze malware nie będą mieli wystarczająco czasu lub/i kompetencji do dokładnej analizy szkodników
Pewnie zastanawiacie się w jaki sposób dochodzi do infekcji, skoro jest to tylko z pozoru niewinny plik graficzny?
Jak wyjaśnia Dmitry Bestuzhev, istnieje również plik .exe, którego zadaniem jest pobranie ze strony web pliku konfiguracyjnego zawierającego klucze deszyfrujące niezbędne do "pobudzenia" szkodnika do działania.
Nowe zagrożenie zostało sklasyfikowane i jest rozpoznawane przez produkty firmy Kaspersky jako Trojan-Banker.Win32.Delf.vh .
Źródło:
[Aby zobaczyć linki, zarejestruj się tutaj]