17.05.2016, 08:28
[Aby zobaczyć linki, zarejestruj się tutaj]
Znany tylko z aktywności online i ukrywający się pod pseudonimem FireFOX (@hFireF0X) badacz poinformował o wykryciu i przeanalizowaniu rodziny niezwykle interesujących szkodników, która z pewnością przyciągnie uwagę laboratoriów i badaczy na długi czas. Szkodnika nazwano Furtim, co wywodzi się z łaciny i oznacza skryty/niewidzialny/jak złodziej/podstępny...i to tłumaczenie właściwie daje nam obraz zachowania się szkodnika i jego możliwości
Faktycznie Furtim jest niezwykłym szkodnikiem i bardzo zaawansowanym, nazwanym w jednym z artykułów wręcz "paranoidalnym", a poniżej krótkie info na jego temat:
- szkodnik używa zaawansowanych mechanizmów w celu ochrony samego siebie
- podczas instalowania się w systemie sprawdza czy znajdują się w nim środowiska zwirtualizowane lub izolowane jak np. piaskownice, które to narzędzia są częstym sposobem na sprawdzanie niepewnych plików
- używa specjalnego mechanizmu filtrującego sprawdzającego system pod kątem zainstalowania ok. 400 programów zabezpieczających...w przypadku wykrycia jednego choćby szkodnik przerywa instalację
- kolejnym krokiem...przy dalszej instalacji...jest podmiana istniejących DNS-ów na publiczne (Google i Level3 Communications) oraz zablokowanie dostępu do ok. 250 stron znanych (właściwie wszystkich największych) producentów zabezpieczeń
- kolejnym elementem ochrony własnej szkodnika jest zablokowanie funkcji systemowych powiadomień i ich dostęp do linii poleceń i menadżera zadań
- szkodnik instaluje w systemie ostatecznie 3 rodzaje plików odpowiedzialnych za różne funkcje (FireFOX zaobserwował, że wysyłka następuje tylko raz do jednego celu-systemu w celu utrudnienia ewentualnej analizy szkodnika przez badaczy)
* pierwszy jest odpowiedzialny za zarządzanie energią i wyłączenie w systemie funkcji "trybu uśpienia" i "hibernacji"
* drugim jest dość znany szkodnik Pony odpowiedzialny za wykradanie wrażliwych informacji z systemu
* rola trzeciego jest jeszcze nierozpoznana, ponieważ to plik póki co nie dający się przeanalizować.
Póki co Furtim nie jest wykrywany przez żaden z silników VT.
Więcej informacji w artykule źródłowym
[Aby zobaczyć linki, zarejestruj się tutaj]
i w oryginalnym raporcie[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"