Dans un billet de blog à partir de lundi, 3 Novembre, 2014 chercheurs de Fortinet annoncent qu'ils ont récemment rencontré une nouvelle version de la célèbre malware Backoff PoS, appelé ROM. La nouvelle version est très précis par rapport aux précédents.
Alors que l'ancienne version était à peu près semblable aux précédents, ROM est conçu pour mieux échapper et passer par-un processus d'analyse de logiciel d'une machine. La dernière version de repli dont le nom technique est W32 / Backoff.B!tr.spy plus utilise un numéro de version dans le fichier journal. Elle a été remplacée que par le mot "ROM" maintenant.
Afin de vous assurer qu'il est constamment en cours d'exécution, le malware crée des séries de billes pour le démarrage automatique de registre du système lors de l'installation. La nouvelle version est pas différente de celle des autres, mais plutôt comme étant déguisé en un composant Java cette fois-ci est couvert dans le cadre du programme Windows Media Player sous le nom de mplayerc.exe. En outre, contrairement aux versions précédentes qui faisaient des copies d'eux-mêmes comme API CopyFileA celui-ci se nomme API WinExec.
La fonctionnalité de ROM pour extraire les cartes de crédit information reste à peu près le même, mais il a encore deux processus Ajouté – Piste 1 l'analyse de l'information et de piste 2 - Stocker les données sur la machine infectée. Suivre 1 les noms des processus sont déguisés comme des signes de hachage et en piste 2 on stocke les données sur la machine locale.
Comme sa version précédente ROM ignore l'analyse des processus, mais au lieu de comparer les noms de processus contre les noms de ses listes noires dans un code régulier, il utilise déjà une des tables de hachage à valeurs. Après la comparaison est faite, il enregistre les informations de carte de crédit dans un fichier crypté dans le % AppData% \ Media Player Classic \ répertoire de fichiers de Windows locale.dat.
Avant de vérifier le fichier dans le serveur de contrôle et commande les logiciels malveillants vérifie d'abord si, le fichier sauvegardé peut être trouvé sur la machine infectée. Si tel est le cas, Elle est chiffrée et l'inscrit dans une demande POST.
Les changements en termes de communication avec le serveur de contrôle et de commande de la nouvelle version du malware ont été faites ainsi. Il communique avec le serveur via le port 443, tous les flux de données étant chiffrées ainsi, ce qui le rend très difficile à détecter. Les noms dans les demandes de données sont également modifiés, certains d'entre eux ayant même cryptage Base664 supplémentaire. Voici les principaux composants, les concatène Malware maintenant:
- Chaîne codée en dur
- Généré au hasard sept codes de caractères
- Une chaîne plus codé en dur
- Le nom d'utilisateur et le nom de l'ordinateur
En outre, les réponses de données de serveur sont aussi changés. Si elles consistaient commandes simples et compréhensibles dans les versions précédentes, maintenant, ils sont remplacés par les octets, pour ex. - Version précédente "Mise à jour", nouvelle version - «0x01» et ainsi de suite. Les nouvelles réponses peuvent être trouvés ici.
L'une des caractéristiques clés de repli dans les anciennes versions - keylogger est pas présente dans une ROM, mais il peut apparaître avec une nouvelle version du malware dans l'avenir.
Nous conseillons à tous nos lecteurs de maintenir leur logiciel anti-virus et de suivre tous les articles de mise à jour de sécurité pour les nouvelles.
