Авторы вредоносных программ используют различные способы прятаться от виртуальных машин, где их функциональность пытаются искать специалисты антивирусных компаний. Они проверяют наличие процессов с определёнными названиями, определённые значения реестра, порты и проч. Предположим, зловред Shylock элегантным способом определяет наличие соединения сообразно протоколу RDP.
Эксперты компании FireEye обнаружили троян Upclicker, какой демонстрирует последний трюк: он отслеживает активность мыши и начинает работу исключительно
впоследствии того, как пользователь нажмёт и отпустит левую кнопку мыши. Таким образом, в обычной виртуальной машине троян не покажет никакой активности, потому сколько там вся активность обычно автоматизирована и никто не работает с мышью.
Для иллюстрации показана часть кода, в котором вызывается функция SetWinodwsHookExA с параметром 0Eh. Посмотрев в справочнике MSDN, дозволено убедиться, сколько эта функция отвечает за отслеживание мыши.
На следующей иллюстрации показано, что впоследствии нажатия кнопки мыши вызывается занятие UnhookWindowsHookEx() и занятие sub_401170(), которая и отвечает за запуск вредоносного кода.
Эксперты предполагают, что вредоносные программы в будущем будут всё чаще пользоваться подобными методами, отслеживая активность мыши, нажатия определённых клавиш, передвижения мыши либо накопившийся пробег мыши, раньше чем затевать проявлять свои основные функции.
Authors of harmful programs use various ways to hide from virtual cars where experts of the anti-virus companies try to search for their functionality. They check presence of processes with the certain names, certain values of the register, ports and so forth we Will assume, зловред Shylock in the elegant way defines connection presence in compliance with report RDP.
Experts of company FireEye have found out trojan Upclicker what shows last trick: it traces activity of the mouse and begins work exclusively subsequently how the user will press and will release the left button of the mouse.
Thus, in the usual virtual car the trojan will not show any activity therefore how many there all activity is usually automated also nobody works with the mouse.
For an illustration the code part in which function SetWinodwsHookExA with parametre 0Eh is caused is shown. Having looked in directory MSDN, it is permitted to be convinced, how many this function is responsible for mouse tracing.
On the following illustration it is shown that subsequently pressing of the button of the mouse employment UnhookWindowsHookEx () and employment sub_401170 () which is responsible for start of a harmful code is caused.
Experts assume that harmful programs in the future will use even more often similar methods, tracing activity of the mouse, pressing of certain keys, movement of the mouse or collected run of the mouse, earlier than to start to show the basic functions.
Комментариев нет:
Отправить комментарий