Обнаружено вредоносное ПО, использующее ID продуктов Windows

image

Теги: TreasureHunter, BackOff, Windows

Злоумышленникам удалось добиться существенного повышения эффективности вредоносных кампаний.

Вирусописатели начали использовать уникальные идентификаторы продуктов Windows для понижения шансов на обнаружение вредоносной деятельности. Это становится возможным за счет генерации значений так называемого мьютекса, программного средства синхронизации одновременно выполняющихся потоков, сообщает исследователь из SANS Ленни Зельцер (Lenny Zeltser).

По его словам, значения мьютекса, позволяющие обнаружить запуск идентичных процессов, использовались вирусом BackOff (предназначен для хищения данных кредитных карт) в течение последних нескольких лет.

Не так давно в открытом доступе появился новый вирус, получивший название TreasureHunter и использующий уже не статические, а динамические значения мьютекса. Среди прочего, это лишает исследователей возможности использовать уже известные «вирусные» значения для быстрого выявления факта компрометации.

Зельцер также подчеркивает, что использование ID продуктов Windows в этих целях является уникальным методом: «Вредоносный код анализирует директории реестра, в том числе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DigitalProductId для выявления Windows ID».

В блоге SANS можно ознакомиться с развернутым докладом исследователя. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.