Blogger templates

I Support the Bring Them Back Campaign

2 Ιουλ 2012

Αλλαγές στην ελευταία έκδοση του Citadel Trojan


Ερευνητές ασφάλειας από τη S21sec, εντόπισαν δυο μεγάλες αλλαγές στη τελευταία έκδοση του Citadel Trojan. Οι δυο μεγάλες αυτές αλλαγές, οι οποίες έχουν λάβει τις ονομασίες“Anti-emulator”και“Encryption change”, προσπαθούν να καταστήσουν το κακόβουλο λογισμικό μη αντιληπτό από τους αναλυτές κακόβουλου λογισμικού (malware).
Ο αντί-εξομοιωτής (Anti-emulator) όταν ξεκινά, έχει ενσωματωμένο ένα μηχανισμό όπου ελέγχει εάν εκτελείται σε εικονικό μηχάνημα ή σε περιβάλλον sandboxes (CWSandbox, VMware, Virtualbox).
Εάν ανιχνεύσει την παρουσία τους, αρχίζει να συμπεριφέρεται διαφορετικά. Δεν έχουν ανακοινωθεί λεπτομέρειες σχετικά με τον τρόπο που αντιδρά, γιατί η τεχνολογία που χρησιμοποιεί είναι πολύπλοκη και δεν έχει επαρκώς αναλυθεί μέχρι στιγμής.
Σύμφωνα με τους ερευνητές, απλά προσπαθεί να σαρώσει τους πόρους των τρεχόντων διεργασιών, ψάχνοντας να βρει συγκεκριμένα πρότυπα στο πεδίο ‘’CompanyName’’ όπως  “vmware”, “sandbox”, “virtualbox”, “geswall”.
Όταν τρέχει σε εικονικό μηχάνημα (VM), το Citadel Trojan δημιουργεί ένα ψεύτικο domain name και προσπαθεί να συνδεθεί πάνω του. Με αυτό το τέχνασμα εξαπατά τους ερευνητές οδηγώντας τους στο συμπέρασμα ότι η σύνδεση δεν είναι εφικτή.
Αυτή δεν είναι η μοναδική μετάλλαξη που έγινε στο Citadel Trojan.ΟΙ ειδικοί διαπίστωσαν ότι υπάρχει διαφορά στην έκδοση RC4 σε σχέση με την προηγούμενη έκδοση.
Πηγή:secnews.gr

0 σχόλια :

Δημοσίευση σχολίου