Sneaky Malware
Tartalomjegyzék:
A FireEye biztonsági gyártójának kutatói egy olyan új, továbbfejlesztett tartós fenyegetést (APT) fedtek le, amely többszörös kimutatási kijátszási technikákat alkalmaz, beleértve az egérkattintások figyelését is meghatározza az aktív emberi interakciót a fertőzött számítógéppel
A Trojan.APT.BaneChant nevű malware-t egy Word-dokumentummal terjesztették ki célzott e-mailes támadások során elküldött kizsákmányolással. A dokumentum neve "Iszlám Jihadnak".
"Gyanítjuk, hogy ezt a fegyverezett dokumentumot a Közel-Kelet és Közép-Ázsia kormányait célozták meg" - mondta a tűzijáték kutatója, Chong Rong Hwa hétfőn egy blogbejegyzésben.
[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]Többlépcsős támadás
A támadás több szakaszban működik. A rosszindulatú dokumentum letölti és végrehajt egy olyan összetevőt, amely megpróbálja megállapítani, hogy az operációs környezet virtuális, például egy víruskereső homokozó vagy egy automatikus rosszindulatú programok elemző rendszere, és várja, hogy megnézze, van-e egér aktivitás a második támadási szakasz megkezdése előtt. > Az egérkattintás felügyelete nem új detektálási kijátszási technika, de a múltban használatos rosszindulatú programok általában egyetlen egérkattintással ellenőrizték, mondta Rong Hwa. A BaneChant legalább három egérkattintást vár, mielőtt elindítaná az URL címét, és letöltene egy backdoor programot, amely egy.jpg képfájlként álcázik.
A rosszindulatú szoftverek más detektálási módokat is alkalmaznak. Például a támadás első szakaszában a rosszindulatú dokumentum letölti a dropper komponenst egy ow.ly URL-ből. Az Ow.ly nem rosszindulatú tartomány, hanem egy URL-lerövidítő szolgáltatás.
Ennek a szolgáltatásnak a logikája, hogy megkerülje a célzott számítógépen vagy annak hálózatán aktív fekete-fehér listázási szolgáltatásokat, mondta Rong Hwa. (Lásd még: "A spammerek visszaélése.gov URL shortener szolgáltatás a munkahelyi csalásokban".
Hasonlóképpen a támadás második szakaszában a rosszindulatú.jpg fájl letöltődik a No-IP dinamikával generált URL-ből Domain Name System (DNS) szolgáltatás.
Miután az első komponens betöltötte a fájlt, a.jpg fájl egy "C: ProgramData Google2 \" mappában levő saját példányt, a GoogleUpdate.exe-et csepegtet, a felhasználó indítási mappájában lévő fájlhoz annak érdekében, hogy minden egyes számítógép újraindítása után végrehajtható legyen.
Ez egy kísérlet arra, hogy becsapja a felhasználókat abban, hogy a fájl része a Google frissítési szolgáltatásának, amely rendszerint telepítve van egy legitim programban
A backdoor program összegyűjti és feltölti a rendszerinformációkat egy parancs-és-vezérlő szerverre, valamint támogatja a parancsokat, többek között egy letöltést és végrehajtást További fájlok a fertőzött számítógépeken.
A védelmi technológiák előrehaladtával a rosszindulatú programok is e volves, mondta Rong Hwa. Ebben az esetben a rosszindulatú programok számos trükköt használtak, többek között az emberi viselkedés észlelésével, a hálózat szintű bináris extrakciós technológiák elkerülésével végrehajtva a többfunkciós XOR titkosítást a végrehajtható fájlokról, maszkolva, mint törvényes folyamatot, elkerülve a törvényszéki elemzést filé nélküli rosszindulatú kódot betöltve közvetlenül a memóriába, és megakadályozta az automatizált domain feketelistáját az URL rövidítésével és a dinamikus DNS-szolgáltatással történő átirányítással.
Mindannyian használjuk a bekapcsológombot, hogy bekapcsoljuk a televíziónkat, de egy hullám is megtenne a jövőben? Mind a Hitachi, mind a Toshiba bemutatják a mozgásérzékelő televíziókat ezen a héten megrendezett Consumer Electronics Show-on, és azt mondják, hogy két éve lehetnek a piacon.
Mindkét készülék a képernyő közelében lévő infravörös érzékelőkkel dolgozik, konvertálja őket a TV vezérlésének parancsára
Műalkotás: Chip TaylorAz amerikai Recording Industry Association, az internetes szolgáltatóknak az illegális fájlmegosztás elleni küzdelemben való részvételére irányuló terve jelenleg folyamatban van. Az AT & T és a Cox egyaránt megerősítették a PC World-nek, hogy valamilyen formában kezdtek együttműködni a RIAA-val. A Comcast nem azt mondta, hogy együttműködött a RIAA-val, de azt állította, hogy a felvételi ipar nevében üzenetet küld az ügyfeleknek. Még mindig rejtély, hogy az ISP-k milyen mért
A RIAA bejelentette a stratégia elmozdulását tavaly decemberben: a múltban megtett perek, a szervezet az internetszolgáltatókkal együttműködve megtalálja a feltételezett elkövetőket, és - egy sor figyelmeztetés után - potenciálisan megszünteti Internet-hozzáférését. A RIAA kezdetben azt mondta, hogy "a legfontosabb internetszolgáltatók" részt vesznek, és nem mutatnak be sem konkrét cégeket, sem határozott időkeretet a program elindításához.
Az Egyesült Államok Szövetségi Kereskedelmi Bizottsága küldött figyelmeztető levelet 10 weboldal üzemeltetőjének, akik azt tették, amit a "megkérdőjelezhető" ügynökség azt állítja, hogy az általuk értékesített termékek megakadályozhatják, kezelhetik vagy gyógyíthatják a H1N1 influenza, gyakran úgynevezett sertésinfluenza. Az FTC a múlt héten küldött levélben azt mondta az amerikai weboldal üzemeltetőinek, hogy ha nem rendelkeznek tudományos bizonyítékokkal az állításuk alátámasztására,
Az FTC a sertésinfluenza-szerekkel kapcsolatos kérelmeket a A nemzetközi fogyasztóvédelmi hálózat 11. internetes sweepje, amely szeptember 21-25. Között zajlott le. A séta során a fogyasztóvédelmi ügynökségek világszerte az interneten való csalás és megtévesztő magatartás gyors növekedését célozták, különös hangsúlyt fektetve a termékek vagy szolgáltatások kihasználására a pénzügyi válságok vagy a természeti katasztrófák, például a H1N1-es járvány, az FTC azt mondta: