Троян Upclicker прячется за щелчком мышки

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 16 дек 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Авторы вредоносных программ используют различные способы прятаться от виртуальных машин, где их функциональность пытаются исследовать специалисты антивирусных компаний. Они проверяют наличие процессов с определёнными названиями, определённые значения реестра, порты и проч. Например, зловред Shylock элегантным способом определяет наличие соединения по протоколу RDP.

    Эксперты компании FireEye обнаружили троян Upclicker, который демонстрирует новый трюк: он отслеживает активность мыши и начинает работу только после того, как пользователь нажмёт и отпустит левую кнопку мыши. Таким образом, в обычной виртуальной машине троян не покажет никакой активности, потому что там вся активность обычно автоматизирована и никто не работает с мышью.

    На иллюстрации показан фрагмент кода, в котором вызывается функция SetWinodwsHookExA с параметром 0Eh. Посмотрев в справочнике MSDN, можно убедиться, что эта функция отвечает за отслеживание мыши.

    [​IMG]

    На следующей иллюстрации показано, что после нажатия кнопки мыши вызывается функция UnhookWindowsHookEx() и функция sub_401170(), которая и отвечает за запуск вредоносного кода.

    [​IMG]

    Эксперты предполагают, что вредоносные программы в будущем будут всё чаще использовать подобные методы, отслеживая активность мыши, нажатия определённых клавиш, передвижения мыши или накопившийся пробег мыши, прежде чем начинать проявлять свои основные функции.



    источник
     
    8 пользователям это понравилось.

Поделиться этой страницей