Новое вредоносное ПО использует ID продуктов Windows


MicrosoftДля понижения шансов на обнаружение вредоносной деятельности вирусописатели стали использовать уникальные идентификаторы продуктов Windows. Это становится возможным за счет генерации значений так называемого мьютекса - программного средства синхронизации одновременно выполняющихся потоков.

Со слов специалиста, значения мьютекса, позволяющие обнаружить запуск идентичных процессов, использовались вирусом BackOff в течение последних нескольких лет. Напомним, BackOff - вредоносное ПО, которое предназначалось для хищения данных кредитных карт.

Не так давно в Сети появился новый вирус, получивший название TreasureHunter и использующий уже не статические, а динамические значения мьютекса. Среди прочего, это лишает исследователей возможности использовать уже известные "вирусные" значения для быстрого выявления факта компрометации.

Специалист отмечает, что использование ID продуктов Windows в этих целях является уникальным методом:

  • "Вредоносный код анализирует директории реестра, в том числе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DigitalProductId для выявления Windows ID".

Обновлено (11.03.2015 23:43)