Tweet
Ayer Kaspersky Lab detecta el banquero rootkit crea por primera vez para infectar los sistemas de 64 bits. Se detectó en un ataque "drive-by-download realizados por los cibercriminales de Brasil.
Hemos encontrado un applet de Java malicioso insertado en un sitio web popular brasileña. El ataque se realizó mediante un applet malicioso, de tal manera que para infectar a los usuarios que ejecutan versiones antiguas del JRE (Java Runtime Environment) y estaba preparado para infectar a los usuarios que ejecutan versiones de 32 y 64 bits de los sistemas.
Dentro de este subprograma que se encuentran algunos archivos interesantes:
El régimen maliciosos todo es simple pero interesante. El add.reg archivo desactivar el UAC (User Access Control) y modificar el Registro de Windows mediante la adición de entidades emisoras de certificados falsos (Autoridades de Certificación) en el equipo infectado:
El cert_override.txt archivo es un certificado digital firmado por falso el falso CA registrados en el sistema. El objetivo principal de este ataque es redirigir al usuario a un dominio de phishing. El sitio web falso a continuación, se mostrará un icono de una conexión https,
simulaba ser la página real del banco. Este esquema de registro de una maliciosa CA en un sistema infectado ha sido utilizado por los chicos malos de Brasil desde el año pasado.
El aaa.bat archivo se ejecutará y ejecutar el archivo bcdedit.exe, un instrumento legítimo desarrollado por Microsoft destinadas a modificar la configuración de arranque de Windows Vista y versiones posteriores. Con esta herramienta y algunos parámetros como "DISABLE_INTEGRITY_CHECKS",
"testsigning ON" y "Tipo de inicio del kernel de arranque de error = = = normal" de los archivosplusdriver.sys y plusdriver64.sys se copiará en la carpeta de los conductores y conductores registrados como activos durante el siguiente reinicio. Esta técnica les permite lanzar su controlador sin
firma legítima, fue descrito recientemente por mi colega Vyacheslav.Después de ser registrados, los controladores maliciosos ejecutar algunos comandos para cambiar el archivo de hosts, añadiendo una redirección a un dominio de phishing, así como la eliminación de
algunos archivos que pertenecen a un plugin de seguridad utilizado por los bancos brasileños:
Los archivos maliciosos son detectados como Rootkit.Win64.Banker.a , Rootkit.Win32.Banker.dy y el applet malicioso Trojan-Dropper.Java.Agent.e .
No hay comentarios:
Publicar un comentario