New Thief USB Trojan Maintenant a la capacité d'auto-Protect - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
Suppression des menaces

New Thief USB Trojan Maintenant a la capacité d'auto-Protect

stfu-usb-voleurles chercheurs d'ESET ont identifié un cheval de Troie Infostealer qui est activé par l'intermédiaire d'une clé USB spécialement configuré pour elle. L'information voleur peut glisser un logiciel antivirus passé inaperçu et fonctionner comme un processus svchost légitime dans Windows. détections Les noms des logiciels malveillants donnés par ESET sont Win32 / PSW.Stealer.NAI pour la charge utile et Win32 / TrojanDropper.Agent.RFT pour le chargeur. Le malware a pris un intérêt dans le domaine de la cyber-sécurité, et il a été donné le surnom “USB Thief”.

Informations techniques sur USB Thief

Semblable à d'autres logiciels malveillants informations de copie, celui-ci a plusieurs étapes par lesquelles elle exerce ses activités méthodologiquement, greatsoftline.com chercheurs rapportent.

→ Étape 1 Loader> Etape 2 Loader> Etape 3 Loader> Etape 4 Payload Dropper et données Stealing

Toutes les trois premières étapes sont principalement orientées dans l'infection réussie de l'ordinateur, et ils prennent en considération les informations du système suivant:

  • Est-ce que la charge utile exécutée à partir de l'USB?(Étape 1)
  • Est-ce que l'utilisateur ouvre le chargeur portable infecté? (Étape 1)
  • Est-ce que le fichier infecté qui est lancé être configuré pour être vérifiée avec succès?(Étape 2)
  • Est-ce que l'information recueillie soit suffisante pour empêcher des interruptions de l'infection et le processus de vol de données? (Si oui, le le malware arrête le processus d'infection)(Étape 2)
  • Est-ce le logiciel AntVirus sur la victime PC en cours d'exécution et at-il une protection en temps réel?(Étape 3).

La quatrième étape est où les données réelles est volé. Le module de cette étape crée une nouvelle svchost.exe processus à l'emplacement suivant:

→ %windir% system32

Le module est spécialement configuré pour hiérarchiser automatiquement les données à être volés premier et transféré à la même route. Pour commencer, les chercheurs soulignent que le malware vole les données complètes de l'arbre de Registre HKCU. En plus de cela, il recherche d'images ainsi que des documents. Cela semble être fait par l'intermédiaire d'une application gratuite appelée "WinAudit". Les fichiers qui ont été copiés avec succès sur le disque sont cryptées en utilisant CE (Elliptic Curve) zéro.

Comment ça Protect elle-même

Ce malware est très soigneusement conçu. Il a des fichiers exécutables(modules) ainsi que les fichiers de configuration pour les exécutables. Pour éviter les ingénieurs cyber-sécurité à partir des recherches sur ce, un algorithme de chiffrement AES-128 puissant sur ces modules a été utilisé.

Non seulement cela, mais les noms de ses exécutables sont complètement aléatoires et pour chaque échantillon malware qui est détecté, le voleur USB peut avoir des noms de fichiers différents. Ce mécanisme de chiffrement de fichier est très familier CryptoWall 4.0 Ransomware qui utilise la même méthode pour les fichiers qu'il crypte, de manière similaire ou la même configuration peut avoir été utilisé ici.

En plus de ces mécanismes de protection, la clé USB portant les composants logiciels malveillants est spécialement configuré de telle sorte qu'il permet d'exécuter ces modules particuliers qu'à partir de ce lecteur. Ceci veut dire cela vous ne pouvez pas exécuter le logiciel malveillant à partir d'autres endroits, car il est exécuté avec succès que par l'intermédiaire de sa clé USB.

Après avoir décryptant avec succès le AES-128 modules chiffrés du malware, des chercheurs de GreatSoftLine ont conclu que ce malware utilise ses étapes identifiées ci-dessus, par conséquent, ce qui signifie que l'étape 1 gouttes étape 2 données, etc..

Conclusion

Les caractéristiques de ce malware ne peuvent pas faire très répandue. Mais pour les attaquants qui ciblent ordinateur spécifique ou un dispositif dans un réseau local(LAN) avec un objectif de voler ses données, ce type d'attaques sont très efficaces. Pour commencer, de nombreux utilisateurs dans votre entreprise locale peut être la possibilité pour un pirate de voler les données. Voici les risques pour votre réseau local d'ordinateurs que vous devez penser lors de la protection du réseau:

  • Une personne à l'intérieur applique la “pratique” approche.
  • Le "drive abandonné" bidouille. - Un lecteur flash qui semble être oublié ou perdu par quelqu'un, mais il a été fait exprès. Cela est particulièrement efficace si le lecteur a perdu des informations sur elle, comme le logo de votre entreprise, par exemple.
  • lecteurs USB conçus pour ressembler à d'autres appareils (Téléphone, Sans fil Connecteur de souris et d'autres)

L'essentiel est qu'il devrait y avoir une formation approfondie des utilisateurs au sein d'un réseau et l'accès à certains éléments de l'ordinateur doit être limitée dans une certaine mesure. Faire cela et suivant les conseils de sécurité recommandées avec la combinaison d'un puissant logiciel anti-malware est une bonne recette pour augmenter de manière significative la protection globale.

Ventsislav Krastev

Ventsislav a couvert les derniers logiciels malveillants, développements logiciels et plus récent technologie à SensorsTechForum pour 3 années. Il a commencé comme un administrateur réseau. Ayant obtenu leur diplôme et marketing, Ventsislav a aussi la passion pour la découverte de nouveaux changements et les innovations en matière de cybersécurité qui deviennent changeurs de jeu. Après avoir étudié la gestion de la chaîne de valeur et d'administration réseau, il a trouvé sa passion dans les cybersecrurity et croit fermement à l'éducation de base de chaque utilisateur vers la sécurité en ligne.

Plus de messages - Site Internet

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...