Malware ukrywa się w procesach myszy

Twórcy złośliwego oprogramowania stosują coraz bardziej wyrafinowane sztuczki celem uniknięcia wykrycia malware przez automatyczne systemy analizy zagrożeń. Firma Symantec informuje, że znalazła trojana, który przywiązuje swój złośliwy kod do procedury obsługi zdarzeń myszy. Ponieważ systemy analizy zagrożeń najczęściej pomijają tę sferę, kod programu pozostanie nieaktywny, a malware niewykryte.

Twórcy złośliwego oprogramowania postanowili ukryś wirusa w procesach myszy
Twórcy złośliwego oprogramowania postanowili ukryś wirusa w procesach myszystock.xchng

Najprostszym sposobem unikania detekcji jest opóźnienie działania, ponieważ zwykle takie analizy są przerywane po określonym czasie. Jak zauważył Symantec, często podejrzane programy rozpakowują swój złośliwy kod po 5 minutach, a następnie czekają kolejne 20 minut na uruchomienie zadania, po czym dopiero po upływie kolejnych 20 minut zaczynają swoją działalność w sieci. Dzięki temu program ma szansę pozostawania niezauważonym.

Najsprytniejsze realizacje malware używają funkcji API systemu Windows SetWindowsHookExA aby wstrzyknąć się do funkcji obsługi wiadomości, która odpowiada za zdarzenia procesu myszy. Prędzej czy później, użytkownik kliknie "nie tam, gdzie trzeba", po czym nieświadomie włączy malware. Niestety, na poziomie systemowej analizy zagrożeń, trojan ma szansę pozostania niezauważonym.

instalki.pl
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas