• URSNIF: Malware Multifacetado

    Publicado em 28-03-2015 03:00
    0 Comentários Comentários
    A família de malware "URSNIF" é conhecida principalmente tratar-se de um malware destinado a roubo de dados, mas também é conhecido por apresentar várias formas de "comportamento", ou seja, é uma praga multifacetada. As variantes URSNIF conhecidas incluem backdoors (BKDR_URSNIF.SM), spyware (TSPY_URSNIF.YNJ), e arquivos de infecção (PE_URSNIF.AO). Em dezembro de 2014, houve uma discussão sobre um aumento registrado nas infecções desencadeadas por URSNIF, principalmente na América do Norte, que foram devido à implementação de arquivos infectados às atividades rotineiras de URSNIF. O vírus insere o arquivo host em sua seção de recursos, ao invés da realização de rotinas típicas de infecção de arquivos como patches de arquivos host (via inserção de código malicioso). Estas variantes tem como alvo os seguintes arquivos:

    *.PDF (detected as PE_URSNIF.A-O)
    *.MSI (detected as PE_URSNIF.A1)
    *setup*.exe (detected as PE_URSNIF.A2)
    February 2015: Another URSNIF outbreak seen

    O surto ocorrido em fevereiro mostrou que o malware aumentou o seu âmbito e melhorou o seu mecanismo furtivo. As variantes "URSNIF" são detectadas como PE_URSNIF.BO e PE_URSNIF.B. Ele utiliza strings já encontrados em arquivos de sistema legítimos para suas propriedades, tais como seu nome de arquivo, nome da pasta, e entradas de registro. Isto é feito para esconder-se próximo a outros arquivos de sistema legítimos. Além do mais, os nomes de arquivos que ele utiliza são uma combinação de nomes de arquivos de sistema legítimos; por exemplo, o malware irá nomear cmdlnsta.exe, que resulta de uma combinação de nomes de arquivos legítimos cmdl32.exe e Rwinsta.exe. Além disso, "URSNIF" era conhecido por apresentar esse comportamento antes de se tornar um "file infector".

    Vale ressaltar que ele também injeta seu código separadamente em cada processo de destino, talvez para evitar scanners de memória. Dessa forma, houve a possibilidade de observar, também, que as strings codificadas a partir das atividades de URSNIF são as mesmas que foram encontradas nas variantes de dezembro.




    Saiba Mais:

    [1] Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...ceted-malware/
    + Enviar Comentário