Компания «Доктор Веб» сообщила о росте распространения троянской программы Trojan.DownLoad2.29598, предназначенной для скрытой загрузки и установки на зараженный компьютер вредоносных программ и драйверов. Троянец использует алгоритмы защиты от анализа с помощью отладчика и запуска на виртуальных машинах. Запустившись на инфицированном компьютере, Trojan.DownLoad2.29598 прописывается в отвечающей за автозагрузку приложений ветке системного реестра, после чего выделяет для своих нужд оперативную память и копирует в нее необходимые для своего функционирования системные библиотеки. Иными словами, троянец обладает собственным загрузчиком библиотек, благодаря которому может успешно обходить перехваты, расставляемые используемым для обеспечения безопасности ПО.
Как следствие, большинство отладчиков не в состоянии определить имена используемых им функций, что нередко затрудняет исследование подобных угроз. Также с помощью специального алгоритма троянец проверяет, не запущен ли он в виртуальной машине. Таким образом, в данной вредоносной программе реализован механизм защиты от анализа с помощью вспомогательного инструментария, которым обычно пользуются разработчики антивирусных программ.
Получить более подробную информацию о Trojan.DownLoad2.29598 можно здесь.
Нет комментарий