• Execuções do ZeuS e Anexo Malicioso TROJ_UPATRE.SMAI

    Faz algumas semanas que os pesquisadores de segurança da Trend Micro receberam um anexo malicioso bastante incomum, que puderam detectar como TROJ_UPATRE.SMAI . Este acessório particular, quando descompactado e executado, exibe a seguinte mensagem de erro:



    À primeira vista, isso pode levar os usuários a pensar que não se trata de nada malicioso. No entanto, se olharmos com bastante atenção para o seu código, um ítem se destaca: ele verifica a hora do sistema.




    Olhando mais adiante, o que os pesquisadores encontraram foi muito interessante: o valor do mês foi adicionado a um local específico da memória, que por sua vez, contém o endereço de memória e chave de decodificação do código, para que este malware consiga prosseguir com as atividades. No entanto, isto só irá retornar resultados corretos quando for o mês de Janeiro.





    Cadeia Decodificada


    Relógio definido para Janeiro

    As imagens acima mostram a rotina de decodificação deste malware, e os seus possíveis resultados. A cadeia decodificada na Figura 4 está ilegível, uma vez que a hora do sistema da máquina está incorreto. Isso faz com que a mensagem de erro seja exibida. No entanto, na Figura 5, quando o relógio do sistema foi definido para o mês de Janeiro, o endereço correto é recuperado e a execução prossegue como normal, levando a sua carga útil (uma variante ZBOT, detectada como TSPY_ZBOT.ADXK).


    Saiba Mais:

    [1] Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...t-of-the-year/

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L