|
Анализ над популярния напоследък малуер Kovter, проведен от страна на независимите разработчици от Kafeine е показал доста любопитно поведение на зловредната програма. За Kovter сме ви разказвали и преди. Зловредната програма беше замесена в малвъртайзинг кампания, насочена към Huffington Post и други сайтове, на чиито платформа бива доставяна онлайн реклама посредством разпространителската мрежа на AOL. Става дума за това, че след като превземе системата, Kovter налага последната версия на Adobe Flash Player на компютъра, ако платформата не е обновена. Това се прави с цел друг малуер освен Kovter да не се възползва от уязвимост в проблемната платформа на Adobe. Основната мисия на Kovter са провеждането кампании с нежелеани кликания (click fraud), използвайки браузърните процеси, за да генерира кликания върху онлайн реклами, което от своя страна генерира доход за атакуващата страна. Откритието на Kafeine е станало случайно, когато те тествали възможностите на малуера на машина, на която Flash Player бил необновен. Те забелязали, че платформата се опитва да се обнови. Работата била там, че разработчикът бил задал на платформата да не се обновява автоматично. „Забелязах, че няколко виртуални машини се опитваха да се сдобият с нова версия на Flash Player, като помислих, че сме настроили неправилно системите да обновяват Flash – което, разбира се не сме желали, тъй като искахме системите да са възможно по-уязвими“, споделят от Kafeine. Специалистът обяснява, че впоследствие открил, че виновник за опитите за ъпдейт е именно Kovter Той отбелязва, че подобно действие на зловредна програма – да „затвори вратата за бъдещо компрометиране на системата от конкурентен малуер – не е нещо ново, но Kovter затваря не една, а две врати, като не позволява обновяването на Internet Explorer. Освен това Kovter е получил нова версия, която изглежда се възползва от функционалността на P2P протокола, както и повече контролни адреси. Пълен анализ на малуера и повече за неговите функционалности и стелт механизми, може да прочете тук. |
|
