Entre para seguir isso  
Seguidores 0
ClutchCargo

Novo Trojan Hijack detectado pela BitDefender

3 posts neste tópico

Novo Trojan Hijack, utiliza DLL oculta para abordagem.

Um novo Trojan dropper foi detectado por pesquisadores da BitDefender, este utiliza uma técnica interessante, a fim de esconder-se de um programa de antivírus instalado no computador comprometido.

Em vez de adicionar-se à lista de inicialização - um movimento que é óbvio, tanto para soluções de antivírus como para usuários mais experientes - é necessário um arquivo de biblioteca (comres.dll) comumente utilizada por navegadores populares, aplicativos e meios de comunicação de rede. Ele copia e altera o arquivo, assim toda vez que é solicitado, ele finalmente, guarda-o na pasta do diretório Windows.

Por que não? . Bem, o malware se aproveita do fato de que alguns aplicativos são especificados apenas com o nome do arquivo dll que necessitam para funcionar, em vez de um caminho completo para a dll. Então, toda vez que precisar desse arquivo em particular, eles usam o que foi alterado pelo malware, como é o mais acessível.

"A conta-gotas ele corrige a cópia, adicionando uma nova função única maliciosa para a biblioteca de código original a ser importado e lançado com o resto de suas funções. Depois, o Trojan cai para 'prfn0305.dat' , arquivo ( identificado pela BitDefender como Backdoor.Zxshell . B ) com as exportações que (contém) a função que compromete o sistema ". E assim tudo agora está no lugar. No momento em que o sistema chama a biblioteca de código, o malware está ativo."

O backdoor efetivamente permite que os cibercriminosos (safados), adicionar ou excluir usuários, alterar senhas, adicionar ou remover privilégios de usuário, e executar arquivos executáveis ​​com privilégios elevados.

Fonte > http://www.malwarecity.com/blog/newly-foun...-file-1256.html

Compartilhar este post


Link para o post
Compartilhar em outros sites

Muito obrigado pelo aviso sobre esta ameaça.

Por curiosidade, fui logo fazer uma pesquisa sobre esse dll. Para minha surpresa, aparecia em dois locais do meu Windows 7 Ultimate:

C:\Windows\System32

e

C:\Windows\winsxs\x86_microsoft-windows-com-complus.res_31bf3856ad364e35_6.1.7600.16385_none_2c8730fb47856e94

Aí não perdoei, fui logo fazer um scan online no virusscan.jotti.org, virscan.org e viruschief.com . Nada foi detectado, felizmente.

Ah, encontrei isto em inglês --> http://www.ehackingnews.com/2012/02/trojan...itical-dll.html

Muito obrigado de novo, e grande abraço!

PS: Parece que o virustotal.com tem estado offline.

Encontrei um novo: www.viruschief.com

Editado por Astromech

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!


Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.


Entrar Agora
Entre para seguir isso  
Seguidores 0

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.