Разработчик от компанията за компютърна и антивирусна защита Symantec Казумаса Итабаши (Kazumasa Itabashi) разкри появата на нов Java малуер, който е насочен към играещите League of Legends.
Интересът на Итабаши към
Освен това, странно даже и за автора на анализа, малуерът променя иконата на устройството във вид на папка.
"Не знам защо малуерa променя иконата на сменяемото устройство, но (явно) това е една от безсмислените стелт тактики на Java.Cogyeka. Ако бъде забелязана въпросната промяна на системата, това може да е знак, че малуерът я е компрометирал".
Освен това малуерът се настанява обикновено в %Temp%hsperfdata_[ПОТРЕБИТЕЛСКО ИМЕ][ИМЕ НА СИСТЕМЕН ИЗПЪЛНИТЕЛЕН ФАЙЛ].exe в резултат, на което се появява в системата като процес, използвайки някои от имената:
csrss
explorer
lsass
services
smss
svchost
winlogon.
Даже и с администраторски права, потребителят няма да може да спре някой от процесите, освен explorer.exe.
Освен, че използва сложни техники за обфускация на кода си, Java.Cogyeka използва обфускация и за прикриване на мрежовата си дейност. Веднъж установил се на системата, малуерът се свързва с команден сървър използвайки сложен механизъм, различни сървъри и различни TCP портове и обфускиран протокол, за да свали на системата основния модул. Модулът пуска два DLL-файла - 32-битов и 64-битов. Малуерът има кейлогър и други функционалности, които му позволяват да намери нужната му информация и я изпрати към командния сървър. Възможностите да регистрира натисканите клавиши и движенията на мишката правят възможно кражба на данни не само на информация свързана с League of Legends, но всякакъв тип информация.
Итабаши не е сигурен каква е целта на вградената функционалност на Java.Cogyeka за разпространение посредством флашка, но предполага, че е насочена към посетителите на интернет кафенета и играчи и играчи, които използват преносими устройства да обменят с други играчи различни файлове свързани с League of Legends.
Подробният анализ и описание на характеристиките на малуера може да откриете в блога на Symantec:
1,
2,
3.
