Posts Tagged ‘malware’
DrWeb Live CD
DrWeb выложили LiveCD со своей продукцией, для более точной проверки рабочих станций.
Вредоносное ПО используют новый медот обхода проактивных защит
В блоге F-Secure появилась запись о том как они нашли вредоносное ПО (Worm.Win32.AutoRun.nox), которое использует GDI Local Elevation of Privilege Vulnerability для восстановления адресов функций в SSDT (System Service Descriptor Table). Это используется для того чтобы обходить проактивые защиты, которые контролируют загрузку драйверов. Потому что настоящие руткит технологии, которые можно использовать массово, можно реализовать только в ядре. Раньше я встречал ПО которое использует эту (старую) уязвимость для загрузки драйверов в обход проактивной защиты. Теперь же разработчики пошли дальше..Очень интересная реализация.
ZLOB – фейковые DNS сервера.
Как сообщает TrendLabs Malware blog – сеть из фейковых DNS серверов принадлежащих ZLOB, на данный момент используются для подмены результатов поисковых систем. Трояны ZLOB меняют у жертвы адреса DNS серверов в настройках на свои, в результате чего могут подставлять фейковые IP адрес при запросе на резолв адресов поисковых систем. После этого пользователь работает уже не с настоящим сайтом, а с фейковым поисковиком, который может вставлять свои ссылки в результаты запросов поисковых систем. В принципе эта схема будет работать ещё долго,так как поисковики на данный момент ничего не могут поделать с этим. Троян живет на компе жертвы, а значит они бессильны.
Если раньше трояны вживались в ОС, «инжектились» в процессы браузеров, перехватывали\подменивали трафик браузеров,устанавливали компоненты для браузеров (BHO), то хакеры сейчас пошли дальше. И это радует :) Как работала схема ? После того как троян попадал на комп жертвы, он отслеживал запуск популярных браузеров, затем «внедрял» себя в адресное пространство процесса браузера и следил за действиями пользователя. Если жертва выполняла какой-нибудь запрос в поисковые системы, троян тут же перехватывал результат ( перехват функций сокетов recv\WSARecv\HttpRequest в ws2_32.dll\wsocks32.dll ) и вставлял фейковые ссылки своих клиентов.
Чем лучше подмена DNS ? Тем что не надо делать лишних тело-движений, нужно всего лишь подменить адреса DNS серверов и следить за тем что бы их не поменяли обратно. Не надо парится с обходом антивирусов и проактивных защит, не надо обходить файрволы для получения задания из центрального сервера ботнета. И все ! А дальше уже работает фейковы сервер куда уйдет запрос жертвы..
Решение проблемы для корпоративной сети?…
