Noll
Den NanoCore Remote Access-Trojaner (RÅTTA) sprids genom skadliga handlingar och använder en intressant teknik för att hålla processen igång och hindrar offren från att manuellt döda systemet, säger forskarna.
It-team från Fortinet nyligen fångat ett prov som rör spridning av NanoCore RÅTTA i form av en skadlig Microsoft Word-dokument.
Som utvecklats i den .Net framework enligt en författare känd som “Taylor Huddleston,” den Trojanska har landat sin operatör i fängelse för att torgföra skadlig kod på tunnelbanan forum.
Medan Arkansas man är på grund av att tjäna nära tre år i fängelse, hans arv vidare på i det vilda utan hans inflytande.
Den skadliga dokument “eml_-_PO20180921.doc” är spridning via phishing-kampanjer och innehåller auto-skadlig körbar, döljs av VBA-kod som initierar Trojan.
Om öppnade dokumentet innehåller en säkerhet varning överst informera den som vill vara offer att makron har inaktiverats, men bör som enskild klicka på “aktivera innehåll”, infektion processen börjar.
Enligt Fortinet, NanoCore Trojan, i sin senaste 1.2.2.0 version, hämtas från wwpdubai.com domän som en del av en .exe-fil som sedan sparas i en Windows tillfällig mapp.
Se även: Polisen kan inte tvinga dig att låsa upp telefonen genom att iris, ansikte eller finger
Filen CUVJN.exe samtal en demon processen. Men innan denna process börjar, den körbara kommer att kontrollera för att se om den process som redan finns och huruvida eller inte Avast antivirusprogram körs.
Om den infekterade systemet passerar dessa kontroller, koden kommer då att packa upp ett arkiv inom den körbara och hämta ett PE-fil som är den faktiska NanoCore RÅTTA.
Två processer kommer att köra på detta stadium. Netprotocol.exe som är en kopia av CUVJN.exe och är demonen utformad för att packa upp NanoCore, tillsammans dll.exe, som är en mycket intressant process-demon i sig.
Dll.exe är utformad för att hålla den Trojan som kör. Processen startar netprotocol.exe, sprutar NanoCore i minnet, och körs koden. En av processen ” – klasser kallas “ProtectMe” med en funktion “ProtectMe.Skydda()” som förhindrar att processen från att dödas av offret.
CNET: FCC: s Ajit Pai inte kommer att möta Kongressen om telefonen-spårning skandal
Under testning, Fortinet forskarna kunde inte döda netprotocol.exe processen alls-trots att det inte var ett system service eller som innehåller högre behörighet än användaren.
Det visar sig att processen använder en funktion som kallas ZwSetInformationProcess, från NTDLL.dll kan ändra läget av processen och hindra den från att inaktiveras.
“Det finns en funktion som heter “RunPE.doIt()” som används för att köra och skydda NanoCore RÅTTA-klienten. Det kräver API CreateProcessA att starta en ny “netprotocol.exe” och sedan avbryter det”, säger forskarna. “Nästa, det allokerar minne i den nya “netprotocol.exe” och sätter hela NanoCore i det nyligen tilldelade minnet med hjälp av API WriteProcessMemory. Slutligen, det ändrar ingång i tråden sammanhang att NanoCore inträde punkt och återupptar NanoCore att köra inne i den andra “netprotocol.exe” genom att anropa API ResumeThread.”
TechRepublic: Smart att bygga upp säkerheten brister lämna skolor, sjukhus vid risk
Först upptäcktes i 2013, NanoCore är en ganska otäck bit av skadlig kod som kan utföra en mängd olika funktioner. Dessa inkluderar en keylogger, ett lösenord stealer som på distans kan skicka vidare data till malware operatör, förmågan att manipulera och visa bilder från webbkameror, låsa skärmen, ladda ner och stöld av filer, och mer.
Den senaste versionen av den Trojanska släpptes 2015 med premium plugins ingår, innan gripandet av operatören under 2016.
Tidigare och relaterade täckning
GoDaddy tar bort JavaScript-injektion som spår webbplats prestanda, men kan bryta det för
Fortnite används av brottslingar använder för att tvätta pengar genom V-Dollar
Cryptopia cryptocurrency utbyte dras offline på grund av brott mot säkerheten
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0