Compartilhar
Recomendar
Imprimir
E-mail
Comentar 
Leia este resumo informativo, preparado pela Cascadia Labs, e saiba como fazer as perguntas certas para obter as respostas certas ao buscar referências de fornecedores de segurança de terminais.
Baixar agora
Março 4, 2010, 7:45PM
Uma análise das táticas do malware Aurora
Algumas das famílias de malware que faziam parte dos ataques da Operação Aurora direcionados a dezenas de grandes empresas dos EUA estão sendo instaladas através de ataques de falsos antivírus e scareware, dizem os pesquisadores.
Pesquisadores da Damballah, que fizeram um relatório em profundidade sobre os ataques Aurora, descobriu que os atacantes têm utilizado dois antivírus falsos para ajudar a baixar e instalar um coquetel de malware nas máquinas das vítimas. Os programas scareware, conhecidos como Fake AV / Login Software 2009 e Fake Microsoft AntiSpyware Services, usam a clássica tática scareware de dar um falso alerta de infecção para as vítimas. Quando o usuário clica sobre o aviso, ele começa o processo de download que leva à infecção com o malware Aurora.
Eis como o ataque scareware Login software 2009 funciona:
Este kit de malware é propagado através de falsos alertas de malware. O suposto instalador do AV é o portador do malware. Seu principal objetivo é baixar e instalar o resto dos componentes do malware. Após a execução do portador, ele atribui um ID específico para o host comprometido. Em seguida, registra esse host no site do servidor de malware e baixa o resto do malware para o host.
Para garantir que o malware é transferido, o criador deste malware dropper utiliza redundância em sua infra-estrutura de servidores. O portador checa três servidores diferentes.
Após a transferência bem-sucedida do componente principal, o dropper principal gera um nome aleatório e copia o componente transferido para "C:\Documents and Settings\ <User> \ Local Settings". Ele chama-se Login Software 2009. O arquivo é então executado para torná-lo ativo na memória. Para que sobreviva no reboot, ele usa a forma mais comum de autostart usando a entrada de regisrto:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Antivírus falsos e programas scareware tornaram-se um enorme problema nos últimos anos, e seu uso nos Ataques Aurora é uma evidência de quão efetiva esta tática pode ser.
Artigos sobre segurança apresentados
Conteúdo Threatpost personalizado
 |
 |
 |
| Junte-se à nossa comunidade no Orkut | Siga-nos no | Assine a Newsletter |
Comentários
Comentar