Malware sleduje nainstalované antiviry

10. 2. 2011

Sdílet

Aviv Raff z izraelské bezpečnostní firmy Seculert upozornil na zajímavou funkci, kterou obsahuje nová verze trojského koně Carberp. Na infikovaném počítači zjistí nainstalované antiviry a další bezpečnostní software.

A to ne primárně proto, aby tyto nástroje vypla, ale odešle zjištěné údaje.

Útočníci do svých kódů obcházení bezpečnostních programů často přidávají dodatečně a za příslušnou funkcionalitu musejí zaplatit třetí straně. Pochopitelně chtějí co největší návratnost svých investic. Proto zjišťují podíl různých antivirů na trhu, aby se mohli rozhodnout, jaké maskovací postupy jsou efektivní a jaké ne.

Raff uvádí, že současně na černém a šedém trhu fungují i služby obdobné testům antivirů proti novým vzorkům malwaru. Prostě někam na server nahrajete příslušný kus škodlivého kódu a služba vyhodnotí, jaké nástroje ho dokážou identifikovat. (Vlastně to úplně odpovídá legitimním službám, kdy uživatel nechá testovat podezřelý kód a podle něj se pak případně aktualizují databáze nebo vytvářejí nové signatury.)

bitcoin_skoleni

Raff se údajně dostal i k výsledkům podvodníků, z nichž vyplynulo, že nejčastěji detekovaným antivirem byl Kaspersky (celých 74 %). Což ale není tak překvapivé, protože stopy tvůrců malwaru Carberp vedou do Ruska. Jeho autoři ho nabízejí jako konkurenci botnetu Zeus, tj. slouží také především pro krádeže přístupových údajů k internetovému bankovnictví.