Банковский троян Dridex получил улучшенный метод шифрования

Олег Иванов 02 Октября 2016 - 17:11

Домашние пользователи

Малый и средний бизнес

Windows

Вирусы-вымогатели

Вирусы-шифровальщики

...

Банковский троян Dridex получил улучшенный метод шифрования

Печально известный банковский троян Dridex начал использовать новую тактику и более продвинутый метод шифрования. Также троян использует обфускацию, чтобы помешать анализу.

Создатели вредоноса в последнее время начали использовать вредоносные RTF (Word Document) –файлы, защищенные паролем. Согласно MalwareTech, этот подход не позволяет большинству автоматизированных систем просканировать эти файлы на наличие вредоносного кода.

Эксперты отмечают, что злоумышленники успешно обходят попытки блокировать документ с помощью хэш, используют отложенное выполнение и, скорее всего, ориентируются на корпоративный сектор, а не на домашних пользователей.

Dridex распространяется в упакованном виде, бинарный файл зашифрован. Однако исследователь Magal Baz из IBM X-Force утверждает, что распаковать и исследовать код легко. Тем не менее, эксперт также отмечает, что важные аспекты кода, такие как вызовы API, хорошо обфусцированы.

Авторы трояна очень хотели скрыть некоторые функции кода и исключить возможность их анализа исследователями в области безопасности. Несмотря на это, экспертами была разработана программа, расшифровывающая и возвращающая правильные функции.

Таким образом, исследователям удалось прийти к заключению, что Dridex, использовавший ранее XOR-метод, теперь использует RC4-потоковый шифр для шифрования строк.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 23 Мая 2025 - 11:32

Android Ошибки конфигурации программ Домашние пользователи Google

В Google Play Store появится кнопка «Стоп» для забагованных апдейтов

Хорошие новости для всех, кто когда-либо сталкивался с багами после обновления любимого приложения: Google наконец-то даст разработчикам возможность быстро остановить распространение проблемных версий через Play Console и API публикации.

Раньше, если в релизе находился серьёзный баг, остановить распространение обновления было практически невозможно — особенно если разработчик запустил 100% выкладку.

Пользователи продолжали скачивать глючную версию, даже не подозревая о проблеме. Единственным «костыльным» решением было выкладывать обновление не на все 100%, а на 99,9%, чтобы оставить лазейку для экстренного тормоза.

Теперь всё станет проще. Google официально подтвердила, что в Play Console появится кнопка «стоп» — можно будет приостановить выкладку как новых приложений, так и обновлений. Это позволит сразу среагировать, если что-то пошло не так, и не портить жизнь пользователям.

Особенно полезно это нововведение будет для тех, у кого включено автообновление — они больше не получат забагованную версию, пока разработчик разбирается с проблемой.

Так что и для пользователей, и для разработчиков — отличный апдейт от Google. Ждём, когда заработает.