11 Декабря, 2012

Банковский троян Shylock стал проверять наличие смарткарт

Андрей Комаров
Новая модификация трояна Shylock стала использовать технику проверки наличия смарткарт-ридера на заражаемом ПК перед непосредственным закреплением.




Ранее, авторами использовалась проверка на предмет функционирования сесии RDP, чтобы избежать попадания в honeypot для последующего анализа. В частности, для этого использовалась функция взаимодействия со смарткартой и анализ ее ответа, который имеет разное значение при работе в контексте RDP-сеанса, нежели с локальной машиной.



Вредонос стал известным общественности в начале 2011 года, используют "Man In The Browser" для списания денежных средств клиента банка, на данный момент известно более 3 ключевых модификаций.

Подробнее:
http://www.f-secure.com/weblog/archives/00002467.html
http://msdn.microsoft.com/en-us/library/windows/desktop/aa379486(v=vs.85).aspx
http://blog.fireeye.com/research/2011/01/the-dead-giveaways-of-vm-aware-malware.html
или введите имя

CAPTCHA