CoreWarrior: Троянски кон на стероиди в света на Windows
Неуловимият вирус трансформира външния си тип над 600 пъти на час...
Емил Василев 15:04 | 14.10.2024 0 СподелиНай-четени
IT НовиниДаниел Маринов - 22:19 | 12.10.2024Британец съди своя град за $647 млн. поради 8000 биткойна, изхвърлени в боклука
IT НовиниДаниел Десподов - 17:55 | 12.10.2024Биологичната граница стопира повишаването на междинната дълготрайност на живота в международен мащаб
IT НовиниДаниел Десподов - 10:22 | 12.10.2024Телескопът Хъбъл снима неповторимия „ Кръст на Айнщайн “
Емил Василевhttps://www.kaldata.com/Компания, профилирана в региона на киберсигурността SonicWall е засякла интензивност на CoreWarrior – резистентен троянски кон, който се популяризира с висока скорост. Вирусът основава десетки копия и се свързва с голям брой IP адреси, като основава пролуки за достъп и управлява детайли от потребителския интерфейс на Windows.
При пускане CoreWarrior основава свое лично копие с случайно име и употребява командния ред, с цел да изпраща данни към сървъра посредством „ curl “. При всяка сполучлива POST поръчка родителската стратегия изтрива предходното копие и основава ново. Само за 10 минути интензивност зловредният програмен продукт може да сътвори и изтрие над 100 свои копия.
По време на своята активност програмата отваря портове в диапазоните 49730-49777 и 50334-50679. Открита е и връзка с IP адрес 172.67.183.40, само че там не е следен деен TCP/UDP трафик.
Троянският кон разполага с механизми за отбрана против разбор. По-специално, той употребява анти дебъгване с rdtsc за инспекция на времето на осъществяване, както и инцидентни таймери за заспиване, които се трансформират според от броя на връзките. Софтуерът може да дефинира дали се извършва във виртуализирана среда, като ревизира за съществуване на HyperV контейнери. Зловредният програмен продукт поддържа и протоколи FTP, SMTP и POP3 за ексфилтрация на данни.
SonicWall към този момент пусна сигнатури за отбрана на потребителите от този троянски кон. Очаква се скоро и други производители на антивирусен програмен продукт да го създадат. За да се предотвратят възможни офанзиви, на потребителите се предлага да поддържат в настоящо положение своя програмен продукт за отбрана, както и базата данни с подписи.