Os dois arquivos podem ser diferenciados, examinando as propriedades de cada um deles. A versão legítima é assinada, enquanto a versão maliciosa não é. Além disso, os números de versão são diferentes. O backdoor se comunica com o servidor C & C via HTTP, para receber comandos, que incluem a atualização de uma cópia de si mesmo e se conectar a um local específico usando SSH para garantir o seu processo de comunicação. Quanto à TROJ_DLOADE.FBV, foi descoberto que as URLs que são usadas para acessar seus servidores C & C tem o seguinte padrão:
- http://{malicious domain}/updater/{32 random hexadecimal characters}/{1 digit number}
Os endereços IP que hospedam esses servidores C & C estão localizados na Rússia. Olhando para os dados de feedback fornecidos pelo Smart Protection Network, a praga TROJ_DLOADE.FBV foi encontrada em vários países, com o Japão e os Estados Unidos sendo os mais afetados pelas suas ações.
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...evade-malware/