Virus infiziert ein Banking-Trojaner, so dass beide operative

2013-12-30  |  Comebuy News

Wenn Malware eine Maschine infiziert geht es in der Regel nach der Systemsoftware. Aber in ein seltener Fall von SpiderLabs bearbeitet, Forscher fanden einen Trojaner, die infiziert wurden, hatte durch einen Virus, verlassen, beide funktionieren nach wie vor als normal.

Comebuy Verwandte Artikel: Trustwave M86 TechnologiesData Verletzung zu erwerben? Die Schuld des Drittanbieters RAS-SystemsAntivirus-Software machtlos, um Daten gegen Angriffe zu stoppen, FindseHarmony Daten Verletzung Lehren zu studieren: Cracking gehashte Passwörter können auch mit einem EasyBlack Hut demo: Google Bouncer können geschlagen werden

Die beiden Teile der Angriffscode fanden sich auf einem Einzelcomputer am Point of Sale im Besitz von ein Kunde von SpiderLabs, die entfernt und die Maschine wieder in Betrieb genommen.

IN Bildern: Die 10 schlimmsten Tech Idioten 2012 (bisher)

Eine Untersuchung läuft in wie die Malware in erster Linie ankam, sagt John Miller, eine Malware Research Manager bei SpiderLabs, welches von Sicherheitsanbieter TrustWave betrieben wird.

Das betreffende Virus ist eine Variante der Universalität-Familie bekannt als Win32/Universalität oder alternativ W32.HLLP.Universalität - ein bekannter Virus, das meisten Anti-Virus-Plattformen erkennen und entfernen können.

Win32/Universalität ist ein polymorpher Virus, der Win32 PE portable ausführbare Dateien infiziert und gibt es schon seit 2003, nach einer technischen Beschreibung davon, die von Symantec im August gebucht wurde.

Es repliziert und infiziert andere Maschinen und kann zum Erstellen von Peer-to-Peer-Botnets verwendet werden und kann die URLs kann es zusätzliche schädliche Dateien herunterladen sagt Symantec erhalten.

Das zweite Stück von Malware war ein banking Trojaner auf der Maschine platziert, Kreditkarten-Informationen zu stehlen. Aufgrund seiner Platzierung innerhalb des Point of Sale-Maschine-Systems und weil es sich um eine ausführbare Datei war, war das Ziel von Universalität. Nach der Beschreibung von Symantec Universalität Virencode an den letzten Abschnitt der Host-Datei eingefügt und das Virencode ausgeführt wird, wenn der Host aufgerufen wird, ausgeführt.

Banking Trojaner nicht durch Malware-Signatur Scannen wegen seines Verhaltens - auf der Suche nach Kreditkarten-Informationen - entdeckt wurde, sagt Miller. Aber wenn es gescannt wurde, als eine Variante der Universalität. Aber Diebstahl von Kreditkartendaten etwas Universalität nie gesehen hatte, nach einem SpiderLabs-Blog post tun, Detaillierung den Fall war.

", Die being said, gab es eine Sache, die diese Malware mit dem ersten geteilt, beide Proben die gleiche Bibliotheksdatei (DLL) im system32-Verzeichnis gelöscht, und ging es mit einem spezifischen Namen während der Laufzeit zu laden", sagt die Post. Mit anderen Worten, handelte der banking-Trojaner wie Universalität. Es stellt sich heraus, das ist, weil es von Universalität infiziert hatte und Universalität war verhält, wie es in der Regel in einer Hostdatei nicht.

Die Forscher verwendeten Kaspersky Anti-Virus, das Banken-Virus der Universalität zu reinigen, und mit einer unberührten Version der Banking-Malware Liquidation. Da Universalität nicht im Vordergrund, und es war leicht entfernt, untersuchen nicht SpiderLabs was Universalität vorhatte.

Es stellt sich aus die gereinigte Malware nicht werden, durch das Anti-Virus erkannt konnte engines die Forscher verwendet, Miller sagt.

Das Banking Trojaner selbst replizieren nicht, also wenn es entfernt wurde, die Host-Maschine sauber war. Die laufende Arbeiten sicherzustellen, ist, dass die Mittel, mit denen es in erster Linie - eine Form der gezielten Angriff - ankam, heruntergefahren wird, sagt Miller.

Möglichkeiten enthalten, dass der Trojaner es von jemandem mit uneingeschränkten Administratorzugriff über eine remote-desktop-Plattform oder von einem Insider mit physischem Zugriff auf das Managementsystem platziert wurde. "Das ist wie sie es erhalten in der Regel", sagt er.

Lesen Sie mehr über WAN-Verbindung in Network World Wide Area Network Abschnitt.

« Back