2 νέα malware από τον κώδικα του Njw0rm RAT που διέρρευσε

Ο πηγαίος κώδικας του Njw0rm RAT (remote access Trojan) διέρρευσε το Μάιο του 2013 από μια ιστοσελίδα που φιλοξενεί κακόβουλο λογισμικό και πιστεύεται ότι έχει χρησιμοποιηθεί σαν σημείο εκκίνησης από κακόβουλους προγραμματιστές για να δημιουργήσουν νέα malware.

Njw0rm RAT
Njw0rm RAT Timeline

Τα Kjw0rm (v2.0 and v0.5x) και το Sir DoOom που κυκλοφορούν έχουν πάρα πολλές ομοιότητες με το Njw0rm RAT, που είναι γνωστό και σαν njrat.

Παρά το γεγονός ότι τα δύο malware έχουν αναπτυχθεί σε Visual Basic Script και το πρωτότυπο κατασκευάστηκε με AutoIt, υπάρχουν ομοιότητες που δεν μπορεί κανείς να τις αγνοήσει, όπως η μέθοδος πολλαπλασιασμού που χρησιμοποιούν.

Ο Michael Marcos, ερευνητής της , αναφέρει ότι και τα τρία malware μολύνουν τον υπολογιστή μέσω των αφαιρούμενων συσκευών και δημιουργούν εικονίδια συντομεύσεων για κανονικούς φακέλους που οδηγούν σε κακόβουλο λογισμικό.

Ωστόσο, το Sir DoOom δημιουργεί το ίδιο ένα σύνολο φακέλων (βίντεο, , ταινίες, παιχνίδια, και DCIM) που οδηγούν σε κακόβουλα εκτελέσιμα. Το Kjw0rm, από την άλλη πλευρά, κρύβει απλά τους φακέλους που υπάρχουν στο root της αφαιρούμενης συσκευής αποθήκευσης και δημιουργεί συνδέσεις που οδηγούν σε αυτά.Njw0rm RAT

Η εξέλιξη είναι εμφανής και στις δύο παραλλαγές Kjw0rm και Sir DoOom, καθώς περισσότερες πληροφορίες είναι διαθέσιμες στον πίνακα ελέγχου του κακόβουλου λογισμικού. Υπάρχει η δυνατότητα ελέγχου εγκατεστημένων προϊόντων ασφαλείας (antivirus, firewall), των εκδόσεων του .NET, καθώς και των πληροφοριών του συστήματος (CPU, GPU, product ID και λειτουργικού)

Οι δυνατότητες των malware έχουν αυξηθεί αφού διαθέτουν και λογισμικό διαχείρισης (close, , restart), run remote shell, download και εκτέλεσης αρχείων. Στην περίπτωση του Sir DoOom οι προγραμματιστές πρόσθεσαν και ένα ολοκληρωμένο Bitcoin miner.

Και το Kjw0rm και το Sir DoOom έχουν ενσωματωμένους μηχανισμούς αντι-ανάλυσης που μπορούν να ανιχνεύσουν virtual machines. Όταν εντοπίζεται ένα τέτοιο απομονωμένο περιβάλλον, το κακόβουλο λογισμικό απλά καταργεί την εγκατάσταση και τερματίζει τη δραστηριότητά του, καθιστώντας την ανίχνευση του από τους ερευνητές ασφάλειας πιο δύσκολη.

Ο Michael Marcos προσοχή σε όλες τις διαθέσιμες αφαιρούμενες μονάδες δίσκου που προέρχονται από ύποπτες ή μη αξιόπιστες πηγές. Επίσης χρειάζεται σε όλες τις συντομεύσεις που φαίνεται να οδηγούν σε νόμιμους φακέλους. Αυτό θα αποτελούσε ένδειξη ότι υπάρχει κακόβουλη δραστηριότητα στον υπολογιστή σας.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).