Троян GootKit нашел интересный способ обхода Защитника Windows

Екатерина Быстрова 09 Сентября 2019 - 11:32

Домашние пользователи

Windows

Microsoft Windows Defender

Трояны

Утечки информации

Умышленные утечки информации

Кража данных

Взлом онлайн-банка

...

Троян GootKit нашел интересный способ обхода Защитника Windows

Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса. Взять, например, банковский троян GootKit, который использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.

Исследователь вредоносных программ Виталий Кремец проанализировал образец GootKit, который обнаружил JamesWT. В ходе анализа выяснилось, что зловред пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Однако для начала вредонос проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Весь алгоритм GootKit выглядит следующим образом:

Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command "DelegateExecute"=0. Оно необходимо для обхода контроля учетных записей.
Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список». Вот эта команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"' + excludeDir + '\".
Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится.
Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку.
Удаляется значение с командой WMIC из реестра.

После этого Защитник Windows уже не будет проверять файл трояна.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 26 Декабря 2025 - 11:50

Взлом программ Домашние пользователи Корпорации

Злоумышленники украли 7 млн долларов через взломанный Trust Wallet

Массовые жалобы пользователей Trust Wallet на произвольные списания средств продолжались всю ночь с 25 на 26 декабря. Компания признала проблему лишь под утро. По подтверждённым данным, общий объём похищенных средств составил около 7 млн долларов, при этом руководство Trust Wallet пообещало полностью компенсировать потери.

Проблему у сервиса ещё вечером обнаружил блокчейн-расследователь ZachXBT — он же первым сообщил о подозрительной активности. Почти сразу после этого в сети начали появляться жалобы пользователей на несанкционированные списания средств.

Инциденты начались после обновления расширения Trust Wallet для Google Chrome. По предварительной версии, злоумышленники подменили расширение на скомпрометированную версию, что и привело к утечке средств.

В самой компании подтвердили наличие проблемы утром 26 декабря. На данный момент подтверждённый ущерб оценивается примерно в 7 млн долларов. При этом, как отмечают в Trust Wallet, в большинстве случаев у отдельных пользователей похищались сравнительно небольшие суммы.

Как уточнили в Trust Wallet, проблемной оказалась версия расширения 3.68. Пользователям других версий кошелька опасаться нечего. Исправленное расширение уже опубликовано в официальном магазине Google Chrome. Также в компании заверили, что пользователи мобильных версий Trust Wallet не пострадали.

Основатель криптобиржи Binance Чанпэн Чжао, которому принадлежит Trust Wallet, пообещал компенсировать потери пользователей. Об этом, как сообщил портал «Код Дурова», он заявил публично.

Инцидент с Trust Wallet — не первый случай, когда для кражи криптовалюты используются скомпрометированные браузерные расширения. Так, в ноябре была выявлена кампания по распространению стилера VenomSoftX, связанного с инфраструктурой зловреда ViperSoftX. Его основной задачей также была кража средств с криптокошельков. При этом главным каналом распространения выступали не официальные магазины расширений, а сайты с пиратскими играми и различными читами.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »