Nieuws
image

Trojaans paard omzeilt anti-virus via slaapstand

woensdag 6 februari 2013, 11:08 door Redactie, 3 reacties

Een onlangs ontdekt Trojaans paard probeert analyse door automatische analysetools te omzeilen door in slaapstand te gaan. Daarnaast gebruikt de malware een fast flux-techniek om de identiteit van de aanvallers die de Trojan besturen te verbergen. Vandaar dat beveiligingsbedrijf FireEye de malware tot 'Trojan Nap' heeft omgedoopt.

Zodra de kwaadaardige code op het systeem wordt uitgevoerd, downloadt de malware een bestand van een Russisch domein. De malware wordt echter niet direct actief. Het hanteert een time-out parameter van 600.000 milliseconden, waardoor de malware pas na 10 minuten tot het uitvoeren van de kwaadaardige code overgaat.

Tactiek
Aangezien automatische analysesystemen een nieuw exemplaar binnen een bepaalde tijd analyseren, kan een langere slaapstand ervoor zorgen dat de analyse stopt voordat de kwaadaardige code wordt uitgevoerd.

"Het gebruik van een lange slaapperiode is een klassieke techniek om niet door geautomatiseerde analysesystemen te worden opgemerkt", zegt Abhishek Singh van FireEye. Hij verwacht voor de toekomst malware die zowel geautomatiseerde analyse als netwerkanalyse probeert te omzeilen.

Reacties (3)
06-02-2013, 11:13 door Anoniem
Eerste ingeving:
Zullen ze vast wel afgekeken hebben van de Ask-toolbar bij de Java installatie.

Maar waarom als het een klassieke techniek is kunnen analysetools er niet mee overweg? Je zou zeggen dat ze hier dan al rekening mee horen te houden.
06-02-2013, 11:51 door 0101
Vorig jaar is er ook al een bericht geweest over een virus dat hetzelfde trucje toepast: https://www.security.nl/artikel/43694/1/Virus_vermijdt_computers_zonder_muis.html
06-02-2013, 11:54 door johanw
Klinkt als de Ask.com toolbar die de Java updates meeinstalleren als je niet uitkijkt, die wordt ook pas na 10 minuten actief.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure