Spam má přílohu, kterou je škodlivý spustitelný soubor s dvojitou příponou tvářící se jako obrázek formátu JPG (např. “MMS img 76897644.jpeg.exe“). Většinou se jedná o bot sítě Zeus, který při stažení kontaktuje svůj řídící (command & control, C&C) server a stáhne tak do přístroje další škodlivé soubory.
Z technického hlediska prý má tento malware velmi zajímavé vlastnosti:
- Po spuštění souboru dojde k dešifrování dat a k zahájení kontroly za účelem prozkoumání daného prostředí, např. ověření identifikačního čísla diskové jednotky, zda neobsahuje emulátory procesoru qemu, virtual, vmware nebo xen (pomocí příkazu HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum\)
- Pokud jsou úspěšně provedeny všechny potřebné testy a není objeven žádný debugger, provede program v přístroji změny prostřednictvím registrace callback funkce FileIOCompletionRoutine.
- V dalším kroku se malware pokusí aplikovat kód a zašifrovat data do procesu explorer.exe. Podle dané verze Windows (32bit/64bit) se poté zvolí jedna ze dvou dostupných metod aplikace malwaru.
PŘEDPLATNÉ
ČLÁNKY DO MAILU