Sign in to follow this  
Followers 0
ClutchCargo

Novo Trojan Hijack detectado pela BitDefender

3 posts in this topic

Novo Trojan Hijack, utiliza DLL oculta para abordagem.

Um novo Trojan dropper foi detectado por pesquisadores da BitDefender, este utiliza uma técnica interessante, a fim de esconder-se de um programa de antivírus instalado no computador comprometido.

Em vez de adicionar-se à lista de inicialização - um movimento que é óbvio, tanto para soluções de antivírus como para usuários mais experientes - é necessário um arquivo de biblioteca (comres.dll) comumente utilizada por navegadores populares, aplicativos e meios de comunicação de rede. Ele copia e altera o arquivo, assim toda vez que é solicitado, ele finalmente, guarda-o na pasta do diretório Windows.

Por que não? . Bem, o malware se aproveita do fato de que alguns aplicativos são especificados apenas com o nome do arquivo dll que necessitam para funcionar, em vez de um caminho completo para a dll. Então, toda vez que precisar desse arquivo em particular, eles usam o que foi alterado pelo malware, como é o mais acessível.

"A conta-gotas ele corrige a cópia, adicionando uma nova função única maliciosa para a biblioteca de código original a ser importado e lançado com o resto de suas funções. Depois, o Trojan cai para 'prfn0305.dat' , arquivo ( identificado pela BitDefender como Backdoor.Zxshell . B ) com as exportações que (contém) a função que compromete o sistema ". E assim tudo agora está no lugar. No momento em que o sistema chama a biblioteca de código, o malware está ativo."

O backdoor efetivamente permite que os cibercriminosos (safados), adicionar ou excluir usuários, alterar senhas, adicionar ou remover privilégios de usuário, e executar arquivos executáveis ​​com privilégios elevados.

Fonte > http://www.malwarecity.com/blog/newly-foun...-file-1256.html

Share this post


Link to post
Share on other sites

Muito obrigado pelo aviso sobre esta ameaça.

Por curiosidade, fui logo fazer uma pesquisa sobre esse dll. Para minha surpresa, aparecia em dois locais do meu Windows 7 Ultimate:

C:\Windows\System32

e

C:\Windows\winsxs\x86_microsoft-windows-com-complus.res_31bf3856ad364e35_6.1.7600.16385_none_2c8730fb47856e94

Aí não perdoei, fui logo fazer um scan online no virusscan.jotti.org, virscan.org e viruschief.com . Nada foi detectado, felizmente.

Ah, encontrei isto em inglês --> http://www.ehackingnews.com/2012/02/trojan...itical-dll.html

Muito obrigado de novo, e grande abraço!

PS: Parece que o virustotal.com tem estado offline.

Encontrei um novo: www.viruschief.com

Edited by Astromech

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0

  • Recently Browsing   0 members

    No registered users viewing this page.