15.10.2024 | CoreWarrior: троянский конь на стероидах в мире Windows |
Специалисты компании SonicWall обнаружили новую активность вредоносного программного обеспечения CoreWarrior — устойчивого трояна , распространяющегося с высокой скоростью. Вирус создаёт десятки своих копий и подключается ко множеству IP-адресов, создавая лазейки для доступа и контролируя элементы пользовательского интерфейса Windows. CoreWarrior распространяется в виде исполняемого файла, упакованного с использованием UPX , который не удаётся распаковать стандартными средствами. При запуске программа создаёт свою копию со случайным именем и использует командную строку для отправки данных на сервер через «curl». С каждым успешным POST-запросом родительская программа удаляет предыдущую копию и создаёт новую. Всего за 10 минут работы вредоносное ПО может создать и удалить более ста своих копий. В процессе активности программа открывает порты для прослушивания в диапазонах 49730-49777 и 50334-50679. Зафиксировано также подключение к IP-адресу 172.67.183.40, однако активного TCP/UDP трафика там не наблюдалось. Троян обладает механизмами защиты от анализа. В частности, он использует антиотладку с помощью rdtsc для проверки времени выполнения, а также случайные таймеры сна, изменяющиеся в зависимости от числа подключений. Программа может определить, работает ли она в виртуальной среде, проверяя наличие контейнеров HyperV. Кроме того, вредоносное ПО поддерживает протоколы FTP, SMTP и POP3 для эксфильтрации данных. SonicWall уже выпустила сигнатуры для защиты пользователей от данного трояна. Скоро их должны подхватить и другие производители антивирусного программного обеспечения. Чтобы предотвратить возможные атаки, пользователям рекомендуется держать свой защитный софт, а также его базу сигнатур в актуальном состоянии. |
Проверить безопасность сайта