Файловый вирус с генератором доменов

Файловый вирус с генератором доменов

В дикой природе обнаружен резидентный файловый вирус, снабженный генератором доменных имен для загрузки и исполнения вредоносных ехе-файлов из интернета. PE_LICAT, или Murofet (ЛК детектирует его как Virus.Win32.Murofet), является приложением Windows и инфицирует ре-файлы во время их запуска, внедряя свой код между первой и второй секциями файла. Основная подпрограмма заражения прописывается в адресном пространстве процесса explorer.exe и пытается связаться с рядом серверов, размещенных в зоне .biz, .com, .info, .org или .net.

Список из 800 ссылок формируется по специальному алгоритму, который вычисляет псевдослучайные значения в зависимости от текущего времени и даты в системе-жертве. Все сгенерированные URL имеют вид http://<имя домена>/forum/. Файлы, загружаемые с актуальных адресов, сохраняются во временном каталоге текущего пользователя и перед исполнением подвергаются верификации.

В Trend Micro исследовали сэмпл PE_LICAT и обнаружили, что большинство доменных имен, которые он сгенерировал, пока еще не зарегистрированы. Некоторые из доменов, оказавшихся активными, ассоциированы с инфраструкторой ZeuS. Содержимое ехе-файлов, которые вирус пытался загрузить, удалось определить как вредоносную программу, родственную ZeuS и наделенную функционалом даунлоудера. Образец даунлоудера, который анализируют вирусологи из Trend Micro, загружает одну из копий PE_LICAT.

Новый вирус не имеет фискированных размеров, не зашифрован, не обладает деструктивным функционалом и ориентирован на платформы Windows 2000, XP, Server 2003. Зараженные ре-файлы не способны передавать инфекцию. Ареал обитания PE_LICAT невелик и, по данным Trend Micro, пока ограничивается Северной Америкой и Европой, с незначительным присутствием в Латинской Америке. Страной происхождения вируса предположительно является Италия.

Источник

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru