image

Malware gebruikt Windows crypto voor updates

dinsdag 19 oktober 2010, 05:08 door Redactie, 0 reacties

Een pas ontdekt Trojaans paard gebruikt een onderdeel van Windows om met Zeus besmette systemen bij te werken. 'Zbot.B!inf gebruikt de Windows Crypto API voor het creëren van een URL en het downloaden van bestanden. De Crypto API, oorspronkelijk bedoeld voor Windows ontwikkelaars, is een verzameling functies voor het versleutelen van data, zodat alleen de ontvanger de inhoud kan lezen.

Volgens Kazumasa Itabashi van Symantec is het niet de eerste keer dat malware de Windows Crypto API gebruikt. Zbot.B!inf genereert op basis van de tijd op de besmette computer een hash-waarde. Die waarde wordt vervolgens naar een ASCII-karakter string omgezet, waarna de string aan een top level domain wordt toegevoegd. Van deze URL wordt dan de malware gedownload. Het Trojaanse paard genereert in totaal hash-waarden voor 800 URLs. De malware gebruikt ook de Crypto API voor verifiëren en uitvoeren van het gedownloade bestand.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.