Windows XP wykorzystany jako element malware'u—szkodliwa wirtualka Strona główna Aktualności23.05.2020 10:10 fot. Getty Images Udostępnij: O autorze Piotr Urbaniak @gtxxor Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP. Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny. Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób. Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy. Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Windows XP naprawdę dalej dostaje aktualizacje. Po prostu ich nie widać 16 cze 2019 Kamil J. Dudek Oprogramowanie 109 Windows 10 ostrzeże o nadchodzącym końcu wsparcia – pierwsze komunikaty już są 15 lip 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 114 Ukryta nowość w testowym Windows 10 – wyszukiwarka na ekranie blokady 4 lip 2019 Oskar Ziomek Oprogramowanie 50 Facebook Messenger wreszcie przestał działać na Windows 10 Mobile 3 lip 2019 Kamil J. Dudek Oprogramowanie Internet 122
Udostępnij: O autorze Piotr Urbaniak @gtxxor Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP. Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny. Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób. Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy. Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji