• Adware e Malware Mevade: Propagação tem como Alvo Usuários do Japão e EUA

    Publicado em 22-09-2013 20:30
    0 Comentários Comentários
    Em uma postagem publicada anteriormente, os pesquisadores da Trend Micro já haviam discutido o aumento do número de utilizadores da rede Tor, que foi diretamente atribuído ao malware Mevade. Nesta postagem, serão focados sobre os detalhes do malware Mevade e como ele chegou pela primeira vez em sistemas do usuário. O primeiro lote de amostras Mevade (detectado como BKDR_MEVADE.A ), foi baixado por um arquivo malicioso chamado FlashPlayerUpdateService.exe (detectado como TROJ_DLOADE.FBV). (O legítimo Flash usa o mesmo nome do arquivo.)



    Os dois arquivos podem ser diferenciados, examinando as propriedades de cada um deles. A versão legítima é assinada, enquanto a versão maliciosa não é. Além disso, os números de versão são diferentes. O backdoor se comunica com o servidor C & C via HTTP, para receber comandos, que incluem a atualização de uma cópia de si mesmo e se conectar a um local específico usando SSH para garantir o seu processo de comunicação. Quanto à TROJ_DLOADE.FBV, foi descoberto que as URLs que são usadas para acessar seus servidores C & C tem o seguinte padrão:


    • http://{malicious domain}/updater/{32 random hexadecimal characters}/{1 digit number}


    Os endereços IP que hospedam esses servidores C & C estão localizados na Rússia. Olhando para os dados de feedback fornecidos pelo Smart Protection Network, a praga TROJ_DLOADE.FBV foi encontrada em vários países, com o Japão e os Estados Unidos sendo os mais afetados pelas suas ações.


    Saiba Mais:

    [1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...evade-malware/
    + Enviar Comentário