Goodnews.ua


Автор ShadowWali «раздувает» размер вредоноса для обхода антивирусов

Май 05
07:52 2017

Автор ShadowWali «раздувает» размер вредоноса для обхода антивирусов

Разработчики вредоносного ПО порой прибегают к несколько необычным техникам для уклонения от обнаружения антивирусными решениями или исследователями в области кибербезопасности. Примером тому может служить автор вредоносных семейств XXMM, ShadowWali и Wali, скрывающий вредоносный код в файлах, размеры которых могут варьироваться от 50 МБ до 200 МБ (в основном за счет «мусорных» данных). Это довольно странно, так как обычно размер вредоносного ПО составляет всего несколько КБ.
По мнению некоторых экспертов, создатель XXMM, ShadowWali и Wali (некто под псевдонимом 123) ошибочно полагает, что внедряя вредоносное ПО в большие файлы, сможет избежать проверки защитными решениями, которые не будут их сканировать, считая легитимными приложениями. Согласно другой теории, таким образом 123 стремится избежать обнаружения сканерами компаний, специализирующихся в области кибербезопасности, которые очень часто отслеживают только небольшие файлы размером в несколько КБ.
Первые атаки с использованием бэкдора XXMM, направленные в основном на организации в Японии и Южной Корее, были замечены в 2015 году. Следующий бэкдор, Wali, эксперты «Лаборатории Касперского» описали в середине апреля нынешнего года, а две недели спустя специалисты Cybereason обнаружили еще одно вредоносное семейство, получившее название ShadowWali.
Как полагают исследователи, ShadowWali является ранней версией Wali. Данный вывод сделан на основе того, что оба вредоноса обладают схожим функционалом, но первый поддерживает лишь 32-разрядную архитектуру, тогда как Wali может работать на 32- и 64-битных системах.
После установки на системе вредоносы внедряются в процессы explorer.exe (Windows Explorer) и lsass.exe (Local Security Authority Subsystem Service). Далее вредоносные программы загружают инструменты, в том числе модуль Mimkatz, для хищения учетных данных с целевого компьютера и исследования локальной сети. Краденные данные 123 использует для продвижения по сети и поиска другой важной информации. С какой целью вирусописатель похищает данные в настоящее время неизвестно.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Погба отклонил предложение Манчестер Сити в пользу Ювентуса в 2022 году

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua