Троян Dridex способен обходить контроль учетных записей пользователей (UAC)


Trojan DridexИсследователями из компании Flashpoint обнаружена новая вредоносная кампания с использованием банковского трояна Dridex. Теперь для обхода контроля учетных записей пользователей (User Account Control, UAC) вредонос использует новые техники.

Напомним, троян Dridex впервые был обнаружен в 2014 году, однако пик его активности пришелся на 2014-2015 годы. В прошлом году исследователи фиксировали лишь небольшие операции с применением трояна. В ходе последней кампании против финансовых организаций Великобритании экспертами Flashpoint была обнаружена используемая Dridex новая техника обхода UAC.

 

Для загрузки троян использует дефолтный исполняемый файл recdisc.exe для создания диска восстановления Windows. Для коммуникации с первой ступенью C&C-инфраструктуры Dridex теперь использует svchost и spoolsrv.

Распространяется вредонос посредством фишинговых писем, которые содержат документ Word со встроенными макросами. Эти макросы загружают, а затем выполняют Dridex на системе жертвы. После заражения компьютера троян удаляет себя из текущего местоположения в папку %TEMP%.

Для обхода UAC вредонос создает директорию в

  • Windows\System32\6886,

а затем копирует легитимный код из

  • Windows\System32\recdisc.exe

в

  • Windows\System32\6886\


Далее Dridex копирует себя в директорию

  • %APPDATA%\Local\Temp

в виде файла tmp и добавляется в

  • Windows\System32\6886\SPP.dll


Вредонос удаляет wu*.exe ;и po*.dll из Windows\System32 , выполняет recdisc.exe и загружает себя как SPP.dll с привилегиями администратора.


Обновлено (31.01.2017 16:19)