Банковского трояна Dyre стало сложнее обнаружить и удалить


IBMИБ-исследователей из IBM проанализировали последние модификации банковского трояна Dyre и установили, что его разработчики начали использовать новые методы для затруднения обнаружения и удаления данного вредоносного ПО. Так, по данным исследователей, вирусописатели изменили механизм устойчивости, а также заменили ключи запуска в реестре Windows на диспетчеризацию задач.

Реестр по-прежнему будет содержать инструкцию, однако файлы, которые работают с помощью диспетчеризации задач, можно найти в заданной Windows папке задач, откуда их можно извлечь по мере необходимости. Стоит отметить, что Dyre, использующий диспетчеризацию задач, становится более устойчив к удалению и обнаружению антивирусными программами. К тому же, данная модификация позволяет также хакерам выбирать, когда и как часто перезапускать вредоносное ПО.

Следующее изменение Dyre связано с именами, предоставляемыми конфигурационным файлам. Давая этим файлам полупроизвольные имена, злоумышленники надеются предотвратить обнаружение вредоносного ПО автоматизированными системами безопасности, цель которых выявление и удаление вредоносных файлов.

Также эксперты сообщают, что несмотря на то, что полупроизвольные файловые имена делают достаточно сложным обнаружение Dyre, знание алгоритма, который используется для выбора данных имен, может реально помочь в выявлении вредоноса.

Стоит отметить и тот факт, что популярность Dyre выросла за последнее время на 125%. Такая цифра указывает на то, что интерес мошенников к online-банкингу увеличивается с каждым днем. А чаще всего жертвами кибератак, в которых злоумышленники используют Dyre, становятся пользователи сервисов online-банкинга из Европы и Северной Америки.


Обновлено (28.08.2015 10:06)