Phasebot je další bezsouborový malware nacházející se jen v registrech Windows

Publikováno: 09. 05. 2015, v rubrice: Bezpečnost, autor: , zobrazeno: 2 970x

malwareObjevil se nový modulární fileless malware, jenž detekuje, zda neběží ve virtuálním prostředí a šifruje komunikaci s C&C.

Právě modulárnost, detekce virtuálního prostředí a šifrovaná komunikace, jsou vylepšení oproti Poweliks, o kterém jsem psal již loni.

Tento malware, nazvaný Phasebot vytváří záznam ve složce %User Startup% a klíče v registru HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}, kam mají uživatelé většinou právo zápisu a svůj shellcode pak ukrývá do hodnot Rc4Encoded32, Rc4Encoded64, který dešifruje a spouští přes PowerShell kód ukrytý v hodnotě JavaScript.

Více informací najdete na stránkách společnosti Trendmicro. Je otázka, zda se tenhle typ malwaru bude nadále vylepšovat anebo se jedná jen o slepou vývojovou větev.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Poweliks je perzistentní malware, který se nachází jen v registrech Windows
  2. Nový bezsouborový malware DNSmessenger
  3. Malware nacházející se na soukromých zařízeních zaměstnanců představuje pro firmy největší riziko
  4. Byla napadena více jak stovka bank a finančních institucí po celém světě
  5. Objevila se nová verze bankovního malware Carbanak

Štítky:


K článku “Phasebot je další bezsouborový malware nacházející se jen v registrech Windows” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: