Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim проверяет MAC-адреса в попытке обойти виртуальные машины

Троян Nymaim взял на вооружение новую функцию. Теперь, для того, чтобы проверить, работает ли он в виртуальной среде, вредонос сравнивает MAC-адреса. Об этом предупреждают исследователи в области безопасности SophosLabs.

Этот троян часто используется для загрузки дополнительных вредоносных программ на зараженные компьютеры, также он был замечен в нескольких кампаниях по распространению вымогателей. Теперь же вредонос сравнивает MAC-адрес зараженного им устройства со своим закодированным список, что позволяет ему избежать виртуальных сред и сорвать инструменты анализа.

Исследователь Sandor Nemes из SophosLabs объясняет, что новый функционал Nymaim помогает ему избежать антивирусных песочниц. Такое поведение трояна наблюдалось в образцах, используемых в кампании, ориентированной в основном на немецких пользователей.

Nymaim был обнаруженв 2013 году и представляет собой даунлоадер (downloader). Недавно он объединился с банковским трояном Gozi, так возникло новое семейство вредоносных программ под названием GozNym. Однако первоначальная версия Nymaim все еще продолжает использоваться в качестве загрузчика различных других угроз.

Недавно обнаруженные образцы имеют жестко прописанную дату окончания срока действия, по истечению которой угроза перестает работать должным образом. Троян отличается наличием различных уловок, например, чтобы пользователь запустил его, зловред выводит сообщение с надписью «Невозможно открыть PDF в браузере» (Cannot view a PDF in a web browser), затем загружает графическую библиотеку DirectDraw и безуспешно пытаться загрузить несуществующий DLL-файл.

Также было замечено, что Nymaim вычисляет хэш каждого файла в папке C:\Windows и сверяет его с черным списком хэшей, кроме этого, он запрашивает версию BIOS и проверяет реестр Windows, содержатся ли в нем записи "VBOX" или "VirtualBox". Чтобы извлечь MAC-адрес, Nymaim вызывает UuidCreateSequential API, который генерирует универсальный уникальный идентификатор (UUID), используя текущее время и MAC-адрес сетевой карты. Таким образом, вредоносная программа может сравнить первые три байта MAC-адреса со своим списком, чтобы определить, работает ли она в виртуальной среде.

Nymaim также использует исполняемые файлы с расширением .com, предположительно, это делается для обхода детекта антивирусными программами.

Торвальдс охладил хайп: Rust и ИИ не спасут Linux от плохого кода

Линус Торвальдс снова разложил всё по полкам и без лишнего поклонения модным технологиям. На Open Source Summit India 2026 создатель Linux рассказал, что ядро развивается без блокбастерных релизов: не резкие скачки, а спокойное постоянное улучшение. Такой подход он предпочитает с тех пор, как появился Git.

По словам Торвальдса, ИИ начал находить интересные баги, и это заметно напрягает сообщество.

Проблема не только в реальных уязвимостях, но и в мусоре: LLM могут генерировать отчёты, которые выглядят правдоподобно, но оказываются галлюцинациями. Людям потом приходится тратить время, чтобы доказать, что ошибки на самом деле не существует.

Торвальдс признал, что сам почти не пишет код и теперь скорее руководит разработкой, чем программирует. Его работа — понимать общий смысл изменений, разбирать пулл-реквесты и следить, чтобы в ядро не прилетало что попало в последний момент. Технические баги, говорит он, чинить проще, чем человеческие конфликты.

Отдельно досталось Rust. Торвальдс считает язык интересным, но не верит, что он захватит мир. По его словам, Rust помогает избежать части простых ошибок, характерных для C, но не спасает от плохой логики. Если программист написал неправильный код, язык за него думать не начнёт. А в смешанных C/Rust-проектах гарантии Rust работают только там, где код действительно остаётся внутри Rust-модулей.

ИИ Торвальдс тоже не списывает со счетов. Он использует LLM для собственных небольших проектов и прототипов, но для исправлений уровня ядра Linux, по его мнению, такие инструменты пока недостаточно надёжны. Если ИИ нашёл баг, мало просто закинуть отчёт разработчикам, нужен человек, который проверит проблему, предложит патч и доведёт обсуждение до результата.

RSS: Новости на портале Anti-Malware.ru