In einem Blog-Post von Montag, 3 November, 2014 Forscher in Fortinet bekannt, dass sie vor kurzem über eine neue Version des berüchtigten Backoff PoS Malware kommen, genannt ROM. Die neue Version ist eine sehr präzise im Vergleich zu den vorherigen.
Während die ältere Version war so ziemlich ähnlich zu den vorherigen, ROM wurde entwickelt, um besser ausweichen und By-Pass ein Softwareanalyseprozess einer Maschine. Die neueste Version, die Backoff technische Name ist W32 / Backoff.B!tr.spy verwendet nicht mehr die Versionsnummer in der Protokolldatei. Dies wurde nur durch die "ROM" Wort jetzt ersetzt.
Um sicherzustellen, dass es ständig laufenden, die Malware schafft Reihe von Protokollen zur automatischen Systemregister Start bei der Installation. Die neueste Version ist nicht anders als die anderen, sondern als als eine Java-Komponente dieses Mal ist es als Teil der Windows Media Player-Programm abgedeckt unter dem Namen mplayerc.exe getarnt. Außerdem, im Gegensatz zu den vorherigen Versionen, die machten Kopien von sich selbst als CopyFileA API dieses nennt sich API WinExec.
ROM-Funktionalität zum Extrahieren Kreditkarten Informationen bleiben so ziemlich das gleiche, aber es hat noch zwei weitere Prozesse nun hinzugefügt – Spur 1 Parsen der Informationen und verfolgen 2 - Speichern der Daten auf dem infizierten Maschinen. Verfolgen 1 die Namen der Prozesse, wie Hash-Zeichen und verfolgen verkleidet 2 er die Daten auf dem lokalen Rechner gespeichert.
Wie seine Vorgängerversion ROM ignoriert Parsen einige Prozesse, aber anstatt den Vergleich Prozessnamen mit den Namen in seinem Blacklists in einem regulären Code verwendet es bereits ein Hash-Wert-Tabellen. Nach der Vergleich gemacht wird es den Kreditkarteninformationen speichert in verschlüsselte Datei im % AppData% \ Media Player Classic \ locale.dat Windows-Dateiverzeichnis.
Vor der Überprüfung der Datei in die Steuerung und Befehlsserver die Malware prüft zunächst, ob, die gespeicherte Datei auf dem infizierten Rechner gefunden werden. Wenn dies der Fall ist, es verschlüsselt sie und trägt sie in einer POST-Anforderung.
Änderungen in Bezug auf die Kommunikation mit der Steuerung und Befehlsserver der neuesten Version der Malware wurden auch gemacht. Es kommuniziert mit dem Server über Anschluss 443, all den Datenfluss als auch verschlüsselt, wodurch es sehr schwer zu erkennen,. Die Namen in den Datenanforderungen werden auch geändert, einige von ihnen sogar mit zusätzlichen Base664 Verschlüsselung. Hier sind die wichtigsten Komponenten die Malware verkettet jetzt:
- Hartcodierte Zeichenfolge
- Zufällig generierte sieben-stelligen Code
- Eine weitere hartcodierte Zeichenfolge
- Der Benutzername und der Computername
Zusätzlich werden die Datenantworten Server ebenfalls geändert. Wenn sie von einfachen und verständlichen Befehlen bestand in den vorherigen Versionen, Jetzt werden sie durch einzelne Bytes ersetzt, für die Ex. - Vorgängerversion "Update", neue Version - "0x01" und so weiter. Die neue Antworten finden Sie hier.
Einer der Backoff wichtigsten Features in älteren Versionen - Keylogger nicht in der ROM eine vorhanden, aber es mit einer neuen Version der Malware in Zukunft auftreten könnten.
Wir würden alle unsere Leser raten, ihre Anti-Viren-Software zu erhalten und alle Sicherheitsupdates Artikel für Neuigkeiten.