Amostras de malware suspeitas são coletadas para análise, e muitas vezes colocadas em máquinas que estão isoladas em um centro de operações ("lab"). Ao invés de sentar na frente de um rack de máquinas físicas em um cold basement lab, os pesquisadores utilizam conexões de desktop remoto para estudar o malware a partir da comodidade e do conforto de seus escritórios. É exatamente essa fraqueza humana que o malware Shylock vem explorando.
Shylock continua evoluindo e driblando os mecanismos tecnológicos defensivos para sua detecção e identificação
Neste último droper, Shylock reconhece um ambiente de desktop remoto, alimentação de dados inválidos em uma certa rotina e depois observa o código de erro retornado. Ele usa esse código de retorno para diferenciar ambientes desktops normais e outros ambientes de "laboratório". Em particular, quando executado a partir de uma sessão de desktop remoto, o código de retorno será diferente e Shylock não será instalado. É possível utilizar este método para identificar outros ambientes virtuais assim como sandboxes.
Para uma orientação mais técnica, segue o seguinte detalhamento comportamental de Shylock: o droper carrega, de forma dinâmica, a função winscard.dll e chama SCardForgetReaderGroupA (0, 0). O malware continua como esperado somente se o valor de retorno for 0x80100011 (SCARD_E_INVALID_VALUE) ou 0x2 (ERROR_FILE_NOT_FOUND). A Trusteer percebeu o seguinte: quando o droper é executado localmente, o valor de retorno é 0x80100011, mas quando ele é executado a partir de uma sessão de desktop remoto, o valor de retorno é 0x80100004 (SCARD_E_INVALID_PARAMETER).
Saiba Mais:
[1] Help Net Security - Malware News http://www.net-security.org/malware_news.php?id=2339