Experti: Zprávy MMS v Česku šíří důmyslný malware

Výzkumníci firmy AVG tvrdí, že v České republice zaznamenali malpware, který se distribuuje prostřednictvím zpráv MMS. Ty se přitom tváří, že pocházejí od lokálního mobilního operátora jako třeba T-Mobile CZ.

Experti: Zprávy MMS v Česku šíří důmyslný malware


Spam má přílohu, kterou je škodlivý spustitelný soubor s dvojitou příponou tvářící se jako obrázek formátu JPG (např. “MMS img 76897644.jpeg.exe“). Většinou se jedná o bot sítě Zeus, který při stažení kontaktuje svůj řídící (command & control, C&C) server a stáhne tak do přístroje další škodlivé soubory.

Z technického hlediska prý má tento malware velmi zajímavé vlastnosti:

  1. Po spuštění souboru dojde k dešifrování dat a k zahájení kontroly za účelem prozkoumání daného prostředí, např. ověření identifikačního čísla diskové jednotky, zda neobsahuje emulátory procesoru qemu, virtual, vmware nebo xen (pomocí příkazu HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum\)
  2. Pokud jsou úspěšně provedeny všechny potřebné testy a není objeven žádný debugger, provede program v přístroji změny prostřednictvím registrace callback funkce FileIOCompletionRoutine.
  3. V dalším kroku se malware pokusí aplikovat kód a zašifrovat data do procesu explorer.exe. Podle dané verze Windows (32bit/64bit) se poté zvolí jedna ze dvou dostupných metod aplikace malwaru.

 

Úvodní foto: © Gunnar Assmy - Fotolia.com










Komentáře