События

Троян Dridex использует новые техники обхода UAC

Троян Dridex использует новые техники обхода UAC

Исследователи компании Flashpoint обнаружили новую вредоносную кампанию с использованием известного банковского трояна Dridex. Для обхода контроля учетных записей пользователей (User Account Control, UAC) вредонос использует новые техники.

Dridex был впервые обнаружен в 2014 году, пик его активности пришелся на 2014-2015 годы, а в прошлом году исследователи фиксировали лишь небольшие операции с применением трояна. В ходе последней кампании против финансовых организаций Великобритании эксперты Flashpoint обнаружили используемую Dridex новую технику обхода UAC.

Как пояснили эксперты, для загрузки троян использует дефолтный исполняемый файл recdisc.exe для создания диска восстановления Windows. Для коммуникации с первой ступенью C&C-инфраструктуры Dridex теперь использует svchost и spoolsrv.

Вредонос распространяется с помощью фишинговых писем. Письма содержат документ Word со встроенными макросами, загружающими и выполняющими Dridex на системе жертвы. После заражения компьютера троян удаляет себя из текущего местоположения в папку %TEMP%.

Для обхода UAC вредонос создает директорию в WindowsSystem326886, а затем копирует легитимный код из WindowsSystem32recdisc.exe в WindowsSystem326886. Далее Dridex копирует себя в директорию %APPDATA%LocalTemp в виде файла tmp и добавляется в WindowsSystem326886SPP.dll. Вредонос удаляет wu*.exe ;и po*.dll из WindowsSystem32 , выполняет recdisc.exe и загружает себя как SPP.dll с привилегиями администратора.

Автор: Сергей Куприянов
30.01.2017 (15:57)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.