Een Trojaans paard dat ontwikkeld is om geld van online bankrekeningen te stelen heeft een update gekregen waardoor het zich in het geheugen van de computer kan verstoppen, wat detectie door virusscanners lastiger moet maken. Daarvoor waarschuwt het Duitse anti-virusbedrijf G Data.
De Bebloh banking Trojan bestaat al enkele jaren, maar was nooit echt een succes onder cybercriminelen, die eerder voor bekende Trojaanse paarden zoals Zeus, Citadel en Sinowal kozen. In november had Bebloh echter een plek in de top 3 van meest gedetecteerde banking Trojans veroverd, aldus G Data. Het bleek om een nieuwe versie te gaan, die voor 25% ten opzichte van de bekende varianten was aangepast.
De aanpassingen aan de nieuwe versie zorgen er onder andere voor dat Bebloh zodra het op een systeem actief wordt zich in het explorer.exe proces injecteert en het originele malware-bestand van de harde schijf verwijdert. Daardoor is de malware alleen in het geheugen en niet meer op de harde schijf te vinden, en kan zich zo voor virusscanners verbergen. Doordat de malware alleen in het geheugen actief is zou een herstart in dit geval het einde van de malware betekenen, maar daarvoor heeft Bebloh een oplossing bedacht.
Zodra het doorheeft dat de gebruiker de computer afsluit of wil herstarten, schrijft de malware zichzelf gauw naar de harde schijf en maakt een verwijzing aan zodat de malware bij het opstarten weer wordt geladen. Daarbij wordt de bestandsnaam die Bebloh gebruikt elke keer willekeurige gegeneerd. Bij elke herstart heeft de malware dan ook een andere naam.
Gebruikers kunnen de malware voorkomen door geen ongevraagde e-mailbijlagen te openen. De malware zou zich namelijk verspreiden via een e-mailbijlage die beweert een vluchtreservering te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.