Зловред Shylock определяет Remote Desktop Protocol

image

Авторы вредоносных программ давно научились определять среду окружения с целью маскировки или дезинформации противника. Грамотно написанный зловред не будет проявлять никакой активности при запуске в виртуальной машине или покажет так называемую ложную активность. Идея в том, чтобы затруднить обратную разработку программы и анализ вредоносного кода со стороны сотрудников антивирусных компаний.

Финансовый троян Shylock, как и другие аналогичные программы, пытается скрыться от обнаружения и не проявляет себя при исполнении в виртуальной машине. Исследователи из компании Trusteer сообщают, что при анализе Shylock заметили и новый «трюк»: дроппер Shylock способен обнаруживать протокол RDP (Remote Desktop Protocol), который тоже часто используется при анализе вредоносного кода. Эксперты говорят, что это первый случай, когда вредоносная программа демонстрирует способность обнаруживать RDP.

Дело в том, что исследователи могут запускать образец вируса на удалённой машине — и наблюдать за его поведением через RDP. Именно этот сценарий предусмотрели авторы Shylock, так что в подобной среде программа не будет работать.

Обнаружение RDP осуществляется следующим образом. Дроппер динамически подгружает библиотеку Winscard.dll и вызывает функцию SCardForgetReaderGroupA(0, 0). Программа продолжает установку только в том случае, если возвращаемое значение функции равно 0x80100011 (SCARD_E_INVALID_VALUE) или 0x2 (ERROR_FILE_NOT_FOUND). Если дроппер исполняется локально, то возвращаемое значение равно 0x80100011, но в сессии RDP оно возвращает другую ошибку 0x80100004 (SCARD_E_INVALID_PARAMETER).

Bookmark and Share

Подробнее: http://www.xakep.ru/post/59746/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Зловред Shylock определяет Remote Desktop Protocol | | 2012-12-03 18:17:00 | | Статьи об Интернет безопасности | | Авторы вредоносных программ давно научились определять среду окружения с целью маскировки или дезинформации противника. Грамотно написанный зловред не будет проявлять никакой активности при запуске в | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: