έγραψε:H Microsoft ανακάλυψε ένα ασυνήθιστα "αόρατο" trojan που έχει τη δυνατότητα να διαγράφει τα αρχεία που "κατέβασε" προκειμένου να εμποδίσει την ανάλυσή τους από ερευνητές.
Το trojan downloader, με την ονομασία Win32/Nemim.gen!A, είναι το πρόσφατο παράδειγμα του τρόπου με τον οποίο οι συγγραφείς malware χρησιμοποιούν εξελιγμένες τεχνικές για την προστασία των "μυστικών" τους. Στην ουσία, το συγκεκριμένο trojan καθιστά μη ανακτήσιμα τα αρχεία που "κατέβασε", ώστε να μην μπορούν να εντοπιστούν και αναλυθούν.
"Κατά τη διάρκεια της ανάλυσης του downloader, ίσως να μην είναι εύκολος ο εντοπισμός των δεδομένων που έχει "κατεβάσει" στο σύστημα. Ακόμη και με τη χρήση εργαλείων ανάκτησης αρχείων, ίσως μπορέσουμε να δούμε ύποπτα, κατά κάποιο τρόπο, ονόματα διαγραμμένων αρχείων αλλά μάλλον δε θα μπορέσουμε να ανακτήσουμε ορθά το περιεχόμενο του αρχείου", δήλωσε σε ανάρτηση blog ο Jonathan San Jose, μέλος του Microsoft Malware Protection Center.
Η Microsoft κατάφερε να "αρπάξει" ορισμένα στοιχεία κατά τη διάρκεια του "κατεβάσματός" τους από αποκρυσμένο server. Οι δύο σκοποί του malware είναι να μολύνει εκτελέσιμα αρχεία σε αφαιρούμενες μονάδες αποθήκευσης και να εγκαταστήσει πρόγραμμα υποκλοπής διαπιστευτηρίων πρόσβασης για λογαριασμούς ηλεκτρονικού ταχυδρομείου, Windows Messenger/Live Messenger, Gmail Notifier, Google Desktop και Google Talk. Συνήθως, η δουλειά του downloader είναι να "κατεβάσει" τον πυρήνα του malware. Σε αυτή την περίπτωση, ο downloader κατέβασε το malware και συνέχισε να αποτελεί αναπόσπαστο μέρος της διαδικασίας.
"Το malware που κρύβει τα ίχνη του για να εμποδίσει τον εντοπισμό του από τους ερευνητές για να αναπτύξουν γρήγορα μηχανισμούς άμυνας, είναι ο κανόνας αυτή την περίοδο. Για κάποιο χρονικό διάστημα οι εγκληματίες είχαν δημιουργήσει malware που μπορούσε να καταλάβει αν εκτελείται σε κάποια εικονική μηχανή, όπως συνήθως γίνεται από τους ερευνητές για την απομόνωση και διερεύνηση του κακόβουλου λογισμικού. Όταν το malware εντόπιζε την εκτέλεσή του σε εικονικό περιβάλλον, μετέβαινε σε μια λανθάνουσα κατάσταση για μην μπορεί να εντοπιστεί εύκολα. Άλλα malware εισάγουν τον κώδικά τους στη RAM του συστήματος, χωρίς να αφήνει κάποιο ίχνος στον δίσκο ή στο registry του μολυσμένου υπολογιστή", δήλωσε ο Paul Henry, αναλυτής στην Lumension.
Πηγή
Αρχική δημοσίευση
