События

Neutrino Bot обзавелся дополнительной защитой от обнаружения

Neutrino Bot обзавелся дополнительной защитой от обнаружения

Специалисты компании Malwarebytes Labs проанализировали новую версию многофункционального вредоносного ПО Neutrino Bot, также известного как Kasidet, которая распространяется посредством набора эксплоитов с одноименным названием.

В ходе исследования эксперты обратили внимание на многослойную защиту, призванную предотвратить обнаружение вредоноса. Оказавшись на системе, Neutrino Bot перехватывает сетевой трафик, проводит проверку на предмет наличия антивирусов, а также с помощью обфусцированного кода JavaScript определяет, на виртуальной машине он или нет. Если вредонос оказывается на виртуальной машине или в «песочнице», он удаляет себя.

После завершения проверки вредонос запускает специально сформированный Flash файл, содержащий ряд эксплоитов для уязвимостей в Internet Explorer и Flash Player. На финальном этапе загружается и исполняется зашифрованная полезная нагрузка для обхода прокси.

Neutrino Bot размещает свою копию в скрытой папке %APPDATA%/Y1ViUVZZXQxx/<random_name>.exe, а также добавляет и модифицирует ряд ключей в реестре Windows для того, чтобы избежать обнаружения пользователем. Кроме того, вредонос добавляет свою копию в белый список межсетевого экрана, а также отключает функцию отсылки данных об инцидентах в Microsoft SpyNet.

Если процесс установки проходит успешно, Neutrino Bot загружает основной вредоносный модуль, а затем связывается с C&C-сервером и ожидает команды от оператора. Вредонос способен осуществлять DDoS-атаки, работать в качестве кейлоггера, делать снимки экрана, подменять DNS-запросы, а также загружать дополнительное вредоносное ПО.

Источник

Автор: Сергей Куприянов
28.02.2017 (12:47)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.