Dyre, использующий диспетчеризацию задач, становится более устойчив к удалению и обнаружению антивирусами.
Создатели банковского трояна Dyre начали использовать новые методы для того, чтобы вредоносное ПО было сложнее обнаружить и удалить. По данным ИБ-исследователей из IBM, вирусописатели решили изменить механизм устойчивости и заменить ключи запуска в реестре Windows на диспетчеризацию задач.
Реестр по-прежнему будет содержать инструкцию, но файлы работающие с помощью диспетчеризации задач можно найти в заданной Windows папке задач, откуда их можно извлечь по мере необходимости. Dyre, использующий диспетчеризацию задач, становится более устойчив к удалению и обнаружению антивирусными программами. Данная модификация также позволяет хакерам выбирать, когда и как часто перезапускать вредоносное ПО, объясняет ИБ-эксперт из IBM Trusteer Ор Сафран (Or Safran).
Еще одно изменение Dyre связано с именами, предоставляемыми конфигурационным файлам. Давая этим файлам полупроизвольные имена, злоумышленники надеются предотвратить обнаружение вредоносного ПО автоматизированными системами безопасности, призванными выявлять и удалять вредоносные файлы.
ИБ-исследователи сообщают, что несмотря на то, что полупроизвольные файловые имена делают достаточно сложным обнаружение Dyre, знание алгоритма, использующегося для выбора данных имен, может реально помочь в выявлении вредоноса.
Стоит отметить , что популярность Dyre выросла за последнее время на 125%, подтверждая, что интерес мошенников к online-банкингу увеличивается с каждым днем. Пользователи сервисов online-банкинга из Европы и Северной Америки все чаще становятся жертвами кибератак, в которых злоумышленники используют Dyre.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале