Зловред проверява системата за 400 програми за защита преди да почне да действа

[You must be registered and logged in to see this image.]

Разработчик с псевдоним FireFOX се е натъкнал на изключително параноична зловредна програма, която преди да започне своята дейност търси за наличието на инсталирани 400 продукти за защита. предава Softpedia.

Подобно на много други зловреди, Furtim (от лат. „неуловим”) търси в регистъра на системата за наличието на следа от антивирусен продукт, с което да улесни проникването в системата си, но предпазването от толкова голям брой продукти за защита е рядко срещано. Зловредната програма, контролирана от руски сървър, асоцииращ се с украинско IP, заменя също така DNS настройките на машината с публични адреси, предоставяни от Google DNS и Level 3 и блокира достъпа на браузъра до над 250 адреса, свързани с инфозащитната индустрия, което да попречи на жертвата да потърси помощ от специализирана страница и да почисти инфекцията, ако я е забелязал. Освен това, Furtim блокира достъпа до мениджъра на задачи в Windows и CMD.exe, като в същото време деактивира представянето на нотификации от операционната система. След събиране на базисна информация за системата, локализация, инсталирани приложения и др., Furtim праща към командния си сървър тази информация в изчакване на допълнителна информация.

Изпратените обратно зловредни файлове са три. Първият от тях, споделя FireFOX деактивира хибернацията на системата и sleep режима. Вторият файл е от семейството на Pony - зловредна програма, която краде информация. Третият компонент, който се сваля обаче, FireFOX не е успял да анализира, заради сложния начин на пакетирането му. Програмите за защита също не успяват да открият функцията му, давайки му общи дефиниции.

FireFOX не споделя как се е сдобил със зловредната проба, нито прави предположение за метода му на разпространение, което може да подскаже дали става дума за таргетирана заплаха или заплаха, целяща по-общо инфектиране.


/kaldata.com