I et blogindlæg fra mandag, 3 November, 2014 forskere i Fortinet meddele, at de for nylig er kommet på tværs af en ny version af den berygtede backoff PoS malware, kaldet ROM. Den nye version er en meget præcis i forhold til de tidligere.
Mens den ældre version var temmelig meget ligner de tidligere, ROM er designet til bedre undvige og by-pass en software analyseproces af en maskine. Den nyeste backoff version, som teknisk navn er W32 / Backoff.B!tr.spy ikke længere anvender et versionsnummer i logfilen. Det er kun blevet erstattet af "rom" ord nu.
For at sikre, at det hele tiden kører, malware skaber serie af logfiler for automatisk system register starte under installationen. Den nyeste version er ikke anderledes end de andre, men i stedet som værende forklædt som en Java-komponent, som denne gang det er dækket som en del af Windows Media Player-programmet under navnet mplayerc.exe. Desuden, i modsætning til de tidligere versioner, der blev lave kopier af sig selv som CopyFileA API denne ene kalder sig API WinExec.
ROM funktionalitet til at udtrække kreditkort informationer forbliver stort set den samme, men det har to flere processer tilsættes nu – Spor 1 parsing oplysninger og Track 2 - Lagring af dataene på den inficerede maskine. I Track 1 navnene på de processer skjult ligesom hash tegn og i Track 2 det gemmer data på den lokale maskine.
Ligesom sin tidligere version ROM ignorerer parsing nogle processer, men i stedet for at sammenligne proces navne mod navne i sine sortlister i en regelmæssig kode det allerede bruger en hash-værdsat tabeller. Efter bliver gjort sammenligningen det sparer kreditkortoplysninger i krypteret fil i % AppData% \ Media Player Classic \ locale.dat Windows filmappe.
Før kontrol filen i kontrol og kommando server malware første tjekker, om, den gemte fil kan findes på den inficerede maskine. Hvis dette er tilfældet, det krypterer den og indtaster det i en anmodning POST.
Ændringer i form af kommunikation med kontrol og kommando server den nyeste version af malware er blevet gjort så godt. Den kommunikerer med serveren via port 443, alle datastrømmen bliver krypteret så godt, hvilket gør det meget svært at opdage. Navnene på de anmodninger om data er også ændret, nogle af dem endda have ekstra Base664 kryptering. Her er de vigtigste komponenter malware sammenkæder nu:
- Hard-kodede streng
- Tilfældigt genereret syv-cifret kode
- En mere hard-kodet streng
- Brugernavn og computerens navn
Derudover server data reaktioner også ændret. Hvis de bestod af enkle og forståelige kommandoer i de tidligere versioner, nu er de erstattet af en enkelt byte, for ex. - Tidligere version "Opdater", ny version - “0x01” og så videre. De nye svar kan findes her.
Et af de backoff vigtigste funktioner i ældre versioner - keylogging ikke er til stede i ROM ene, men det ser ud med en ny version af malware i fremtiden.
Vi vil råde alle vore læsere til at opretholde deres anti-virus software og følge alle sikkerhedsopdatering artikler til nyheder.
