Windows XP wykorzystany jako element malware'u—szkodliwa wirtualka
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Nowy ransomware wynosi metody unikania wykrycia na następny poziom – stwierdza Sophos, opisując ostatni atak z użyciem narzędzia zwanego Ragnar Locker. Włamywacze, chcąc obejść zaporę i oprogramowanie zabezpieczające, dystrybuują szkodnika jako maszynę wirtualną na Windowsie XP.
Paczka niezbędna do przeprowadzenia ataku ma 122 MB, a w jej wnętrzu znajduje się liczący 282 MB obraz maszyny wirtualnej. Wszystko to, aby przemycić 49 kB plik wykonywalny.
Jak ustalił Sophos, maszyna działa w oparciu o archaiczny VM VirtualBox 3.0.4 (wydanie z 2009 roku) i okrojoną wersję Windowsa XP z Service Packiem 3, MicroXP v0.82. Jednocześnie ataki z jej użyciem zawsze są przemyślane w najdrobniejszym detalu. Tak, aby zmaksymalizować efektywność i wyrządzić ofierze jak najwięcej szkód, i to w sugestywny sposób.
Instalatorowi towarzyszy plik wsadowy, który rejestruje i uruchamia niezbędne biblioteki VBoxC.dll i VBoxRT.dll, jak również sterownik VboxDrv.sys. Do tego skrypt wyłącza usługę Shell Hardware Detection i usuwa ewentualne snapshoty (kopie zapasowe). Jakby tego było mało, komunikat z żądaniem okupu cechuje się spersonalizowaną pod kątem ofiary oprawą graficzną, a konkretniej – logiem atakowanej firmy.
Udana infekcja kończy się utworzeniem w sieci lokalnej nowego komputera, którego szkodliwe oprogramowanie jest poza jurysdykcją systemu antymalware. Ten może atakować zarówno platformę macierzystą, jak i inne pecety w sieci. Później, typowo dla ransomware'u, mapuje i szyfruje dyski, by wyświetlić żądanie okupu. Pomysłowe, przyznajcie.