Piszkos trükkel álcázza magát a legújabb zsarolóvírus

A Cerber legújabb variánsa több részre oszlik, amelyek külön-külön ártalmatlannak tűnnek.

Megszokhattuk, hogy a zsarolóvírusok fejlesztői mindig kitalálnak valami újat, és ha céljuk nem lenne olyan aljas, akár még elismeréssel is adózhatnánk találékonyságuknak. Ez a helyzet a legújabb Cerber variánssal is, ami a gépi tanulást is átveri.

A Trend Micro kutatói szerint az új vírus úgy cselezi ki a hagyományos felismerési technikákon alapuló rendszereket, hogy több fájlra oszlik, melyek önmagukban ártalmatlannak tűnnek, de egymásra épülve robbanó elegyet alkotnak.

zsenialis_trukkel_alcazza_magat_egy_uj_zsarolovirus_screenshot_20170401222334_1_nfh.jpg
A zsarolóvírus-fejlesztőknek ismért sikerült valami váratlant húznia, amivel meglepték az antivírus programokat.

A Cerber e-maillel terjed: a levél egy Dropbox fiókra mutató linket rejt, ahol egy önkicsomagoló archívum várja a letöltést.

Az archívumban három fájl van, az első egy Visual Base szkript, a második egy DLL, a harmadik egy bináris fájl. A szkript betölti a DLL-t, a DLL elolvasssa és végrehajtja a bináris fájlt. Telepítés után a betöltő megnézi, hogy sandboxban fut-e, és ha nem, futó eljárásokba injektálja a bináris részt.

A Trend Micro arra figyelmeztet, hogy a Cerber ellen csak azok az antivírus termékek védenek, amik többfajta technikával dolgoznak, és nem kizárólag a gépi tanulásra támaszkodnak.

Kommentek

comments powered by Disqus
Ezt olvasta már?

Bemutatkozik a TRENDnet »