该恶意软件GAMEOVER窃取网上银行凭证的新变种有一个内核级的rootkit,使得它显著难以消除,根据从Sophos安全研究员。
GAMEOVER是基于臭名昭著的宙斯银行恶意软件,其源代码将于2011年GAMEOVER在互联网上泄露的来自其他基于宙斯木马程序脱颖而出,因为它使用对等网络技术进行指挥和控制,而不是传统的服务器的计算机木马,使其更有弹性的移除尝试。
在二月初,来自安全公司Malcovery安全研究人员报告说,GAMEOVER的一个新变种正在分发作为加密.enc文件为了旁路网络级防御。然而,从GAMEOVER作者的最新技巧是使用名为Necurs内核的rootkit来保护恶意软件的进程被终止,被删除它的文件,从Sophos的研究人员周四在说博客文章。
最新的变种GAMEOVER正在通过垃圾邮件声称来自汇丰银行与法国和.zip附件假发票分配。这些附件不包含GAMEOVER木马程序本身,而是叫Upatre其恶意下载程序,如果运行,下载并安装恶意软件的银行。
如果感染的第一阶段是成功的,新的变种GAMEOVER尝试安装为32位或64位驱动程序取决于受害人使用的Windows版本,其操作Necurs的rootkit。该恶意软件试图利用以具有管理员权限安装Necurs驱动在2010年由微软修补一个Windows权限提升漏洞。
如果系统补丁和漏洞出现故障,恶意软件触发用户帐户控制(UAC)提示,要求管理员访问受害者。,在Sophos研究人员说,UAC提示应该考虑可疑用户打开了他认为是发票。
但是,如果用户确认反正执行或攻击成功摆在首位,流氓司机开始保护GAMEOVER组件。
“该rookit大大增加了从被感染的计算机中删除恶意软件的难度,所以你很可能留感染的时间更长,而失去更多的数据到GAMEOVER僵尸网络的控制器,”在Sophos研究人员说。
目前还不清楚为什么GAMEOVER作者使用由别人开发的一个rootkit开始。
“也许这两组强强联合,或者可能Necurs源代码已经被GAMEOVER团伙收购,”在Sophos研究人员说。“不管是什么原因,添加Necurs的rootkit到一个已经危险的恶意软件是一个不受欢迎的发展。”
宙斯及其副产品仍然是非常受欢迎的网络犯罪分子。据戴尔SecureWorks公司最近的一份报告,宙斯变体几乎占了一半在2013年看到的所有银行的恶意软件。
除了盗取网上银行凭证和财务信息,网络犯罪分子越来越多地使用这种恶意软件来收集其他类型的数据。安全公司Adallom最近发现了宙斯变种旨在窃取Saleforce.com凭据从帐户被盗用刮的业务数据。