Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor
Главная » Новости

Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor

Олег Иванов 02 Августа 2019 - 16:16
...
Адваре DealPly использует Microsoft SmartScreen и McAfee WebAdvisor

Исследователи обратили внимание на новое интересное адваре под названием DealPly. Его особенность заключается в использовании сервисов Microsoft и McAfee, которые помогают вредоносу избежать детектирования.

Об адваре рассказали эксперты Ади Зелигсон и Ротем Кёрнер. Обычно DealPly проникает на компьютеры пользователей с установочными файлами легитимных программ.

После запуска вредонос копируется в директорию Windows %AppData% и добавляет себя в планировщик задач Windows — это гарантирует ежечасный запуск адваре. При каждом таком запуске зловред обращается к командному серверу C2 за инструкциями. Для этого посылаются специальные зашифрованные запросы через HTTP.

Сам вредонос модульный, он вполне может обнаружить виртуальную машину или снять цифровой отпечаток устройства.

А теперь самое интересное: один из последних образцов DealPly использует репутационные сервисы от Microsoft и McAfee, чтобы избежать детектирования в системе.

Речь идёт о Microsoft SmartScreen и McAfee WebAdvisor, бесплатных системах, которые используются для оценки риска файлов и ссылок. Если какой-либо из доменов был ранее занесён в чёрный список, эти сервисы предупредят об этом пользователя при попытке зайти на такой сайт.

«Мы подозреваем, что основная причина, по которой адваре использует сервисы репутации, кроется в возможности проверки своих файлов и ссылок. Если они уже были занесены в список, то нет смысла продолжать их использовать», — пишут исследователи.

В случае Microsoft SmartScreen DealPly запросит у своего командного центра хеши и URL, чтобы проверить их с помощью сервиса от Microsoft. Для этого отправляется JSON-запрос к API SmartScreen. В ответ сервис может прислать одно из трех состояний:

  • UNKN — неизвестный файл или URL.
  • MLWR — вредоносный файл или URL.
  • PHSH — фишинговый файл или URL.

Стоит отметить, что API SmartScreen нигде подробно не расписано, это значит, что киберпреступники проделали большую работу — провели обратный инжиниринг механизма SmartScreen.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

iOS 26.6 предупредит, если вы заблокировали слишком много контактов
Екатерина Быстрова 27 Мая 2026 - 10:40
iOS Домашние пользователи
iOS 26.6 предупредит, если вы заблокировали слишком много контактов

В первой бете iOS 26.6 нашли новое предупреждение для тех, кто особенно активно чистит своё цифровое окружение. Система теперь покажет отдельный алерт, если пользователь упрётся в лимит заблокированных контактов.

Apple публично не рассказывает, сколько именно номеров и контактов можно добавить в чёрный список. Но лимит в iOS есть, просто большинство людей до него, очевидно, не добирается. Хотя у кого-то, видимо, жизнь достаточно насыщенная.

Новое сообщение обнаружил Аарон Перрис при изучении кода iOS 26.6 beta 1. В нём говорится, что пользователь достиг максимального числа заблокированных контактов. Чтобы заблокировать новых абонентов, придётся сначала удалить кого-то из списка в настройках.

 

Изменение маленькое, почти микроскопическое. Но для iOS 26.6 это пока чуть ли не единственная заметная пользовательская новинка: релиз выглядит блеклым и, судя по всему, больше похож на техническое обновление перед iOS 27.

В общем, если ваш список заблокированных контактов однажды переполнится, iPhone теперь хотя бы скажет об этом прямо.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Нейросеть написала ОС, но Vib-OS развалилась уже на базовых задачах
Новость
Нейросеть написала ОС, но Vib-OS развалилась уже на базовых...
Вышло Android-приложение для поиска VPN по методичке Минцифры
Новость
Вышло Android-приложение для поиска VPN по методичке Минцифр...
Microsoft закрыла 167 уязвимостей за раз, среди них две опасные 0-day
Новость
Microsoft закрыла 167 уязвимостей за раз, среди них две опас...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.