Raport Symantec: Malware ukrywa się w procesach myszy

RafkoSkomentuj
Raport Symantec: Malware ukrywa się w procesach myszy
Według danych Symantec, codziennie powstaje ok. milion nowych wariantów malware. Wobec tak ogromnej liczby danych do analizy, początkowe prace do tworzenia sygnatur wirusów pełnią zautomatyzowane systemy wykrywania zagrożeń. Tylko szczególnie podejrzane przypadki są badane przez pracowników.

Najprostszym sposobem unikania detekcji jest opóźnienie działania, ponieważ zwykle takie analizy są przerywane po określonym czasie. Jak zauważył Symantec, często podejrzane programy rozpakowują swój złośliwy kod po 5 minutach, a następnie czekają kolejne 20 minut na uruchomienie zadania, po czym dopiero po upływie kolejnych 20 minut zaczyna swoją działalność w sieci. Dzięki temu program ma szansę pozostawania niezauważonym.

Najsprytniejsze realizacje malware używają funkcji API systemu Windows SetWindowsHookExA aby wstrzyknąć się do funkcji obsługi wiadomości, która odpowiada za zdarzenia procesu myszy. Prędzej czy później, użytkownik kliknie „nie tam, gdzie trzeba”, po czym nieświadomie włączy malware. Niestety, na poziomie systemowej analizy zagrożeń, trojan ma szansę pozostania niezauważonym.

Źródło: Heise

Udostępnij

Rafko