TrickBot получил новый модуль для защиты от обнаружения

Татьяна Никитина 23 Ноября 2020 - 15:17

Домашние пользователи

...

Авторы TrickBot выпустили сотую, юбилейную версию многофункционального зловреда, расширив набор средств, которые тот использует для самозащиты. Новые функциональные возможности обеспечивают загрузку основного кода напрямую из памяти, без сохранения на жестком диске.

Вредоносная программа TrickBot обычно распространяется через спам-рассылки или с помощью других зловредов. После запуска она загружает дополнительные модули, позволяющие похищать данные из базы служб Active Directory, копировать себя на другие машины в сети, блокировать доступ к рабочему столу, извлекать пароли и куки из браузеров, воровать ключи OpenSSH, открывать бэкдор. Возможности TrickBot неоднократно использовались для загрузки программ-шифровальщиков Ryuk и Conti.

В прошлом месяце ИТ-компании нанесли скоординированный удар по инфраструктуре TrickBot, однако, судя по нововведению, ботоводы все еще надеются восстановить свои операции в прежнем объеме.

Анализ новой версии зловреда показал, что тот обрел новый защитный модуль — MemoryModule. Эта библиотека позволяет TrickBot внедрять свою DLL в легитимный процесс wermgr.exe (служба отчетов об ошибках Windows) непосредственно из памяти и затем завершать исходный вредоносный exe-процесс. С этой целью MemoryModule применяет технику process doppelgänging, предполагающую использование WinAPI, которые отвечают за транзакции файловой системы NTFS.

Технология транзакций NTFS была впервые введена в Windows Vista; она позволяет группировать файловые операции в сущность, называемую транзакцией. Эта технология упрощает восстановление при ошибках в установке или обновлении программ — изменения всегда можно откатить. Примечательно, что в последнем случае следов на жестком диске не остается. Запуск произвольного процесса внутри файловой транзакции не требует прав администратора; более того, до закрытия или отката она не видна никому, что тоже на руку злоумышленникам.

Техника, применяемая новым модулем TrickBot, работает следующим образом: вначале он создает новую транзакцию NTFS и в ее контексте — временный файл для вредоносного кода, затем MemoryModule проецирует содержимое этого файла на часть адресного пространства целевого процесса и откатывает транзакцию. В результате созданный TrickBot файл бесследно исчезает, а его полезная нагрузка остается в памяти системного процесса wermgr.exe.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 09:25

Windows Ошибки конфигурации программ Домашние пользователи Microsoft

Новый Media Player для Windows 11 оказался прожорливее старого в 3,5 раза

Microsoft продолжает продвигать новый Media Player для Windows 11, но пользователи нашли очередной повод для недовольства. Как показали тесты, современный медиаплеер потребляет значительно больше ресурсов, чем его легендарный предшественник, а часть популярных кодеков теперь вообще доступна только за деньги.

По данным Windows Latest, новый Media Player в режиме простоя занимает около 377 МБ оперативной памяти.

Для сравнения: классический Windows Media Player довольствуется примерно 103 МБ. Получается, что новое приложение съедает в 3,5 раза больше памяти, даже когда просто открыто и ничего не воспроизводит.

Не радует и скорость работы. Если старому плееру требовалось около двух секунд для открытия локального видеофайла, то новому — примерно три секунды. Формально разница небольшая, но в относительных цифрах запуск стал медленнее почти на 50%.

Но вопросы к Media Player связаны не только с производительностью. Microsoft фактически перевела поддержку некоторых популярных форматов на платную основу. Для воспроизведения видео в формате HEVC (H.265) пользователям необходимо отдельно приобрести приложение HEVC Video Extensions в Microsoft Store.

На этом ограничения не заканчиваются. Компания также подтвердила, что в Windows 11 версии 24H2 больше нет встроенного кодека AC-3 (Dolby Digital). Это означает, что новый Media Player не сможет воспроизводить многие аудиодорожки в фильмах и видеозаписях без установки дополнительного программного обеспечения.

Именно этот Media Player сегодня является стандартным медиаплеером Windows 11. Он пришел на смену Groove Music и постепенно вытесняет классический Windows Media Player. Старое приложение пока еще можно установить как дополнительный компонент системы, однако Microsoft явно делает ставку на новую версию.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!