Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

SonicWall обнаружили новую активность устойчивого трояна CoreWarrior

15/10/24

hack3-Oct-15-2024-11-08-27-2977-AM

Вирус создаёт десятки своих копий и подключается ко множеству IP-адресов, создавая лазейки для доступа и контролируя элементы пользовательского интерфейса Windows.

CoreWarrior распространяется в виде исполняемого файла, упакованного с использованием UPX, который не удаётся распаковать стандартными средствами, пишут в Securitylab. При запуске программа создаёт свою копию со случайным именем и использует командную строку для отправки данных на сервер через «curl». С каждым успешным POST-запросом родительская программа удаляет предыдущую копию и создаёт новую. Всего за 10 минут работы вредоносное ПО может создать и удалить более ста своих копий.

В процессе активности программа открывает порты для прослушивания в диапазонах 49730-49777 и 50334-50679. Зафиксировано также подключение к IP-адресу 172.67.183.40, однако активного TCP/UDP трафика там не наблюдалось.

Троян обладает механизмами защиты от анализа. В частности, он использует антиотладку с помощью rdtsc для проверки времени выполнения, а также случайные таймеры сна, изменяющиеся в зависимости от числа подключений. Программа может определить, работает ли она в виртуальной среде, проверяя наличие контейнеров HyperV. Кроме того, вредоносное ПО поддерживает протоколы FTP, SMTP и POP3 для эксфильтрации данных.

SonicWall уже выпустила сигнатуры для защиты пользователей от данного трояна. Скоро их должны подхватить и другие производители антивирусного программного обеспечения. Чтобы предотвратить возможные атаки, пользователям рекомендуется держать свой защитный софт, а также его базу сигнатур в актуальном состоянии.

Темы:УгрозытрояныSonicWall
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...