 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
19 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Аналитики уверены, что новая версия бывшего шифровальщика опаснее предыдущей, однако это не заслуга его авторов.
Эксперты Trend Micro обнаружили новую версию шифровальщика XiaoBa, переделанного под добычу криптовалюты. Они утверждают, что модифицированный зловред опаснее для компьютера, чем его предшественники, из-за ошибок в коде.
Ранее исследователям было известно о трех версиях вымогателя. Впервые XiaoBa заметили в октябре 2017 года. Шифровальщик добавлял к файлам расширения от .Xiaoba1 до .Xiaoba34 и отключал функции восстановления системы.
Поскольку он не распространялся за пределами Китая, на протяжении нескольких месяцев мировая общественность не знала о его существовании. Только в третьей версии злоумышленники начали использовать английский язык — вероятно, чтобы увеличить количество потенциальных жертв.
Новая форма зловреда, определяющаяся как PE_XIAOBAMINER, была обнаружена аналитиками Trend Micro 17 апреля. Создатели XiaoBa переписали код, и вместо шифрования файлов вредоносная программа стала внедрять скрипт для майнинга. Помимо собственно добычи криптовалюты, она копирует свой код в другие исполняемые файлы, а также внедряет во все файлы .HTML и .HTM JavaScript-библиотеку Coinhive.
Как и многие другие вредоносы, XiaoBa добавляет себя в список автозагрузки, а чтобы предотвратить переход пользователя в безопасный режим, вирус удаляет записи реестра safeboot. Затем майнер переписывает hosts-файлы с целью затруднить работу антивирусного программного обеспечения.
Обезопасив себя, зловред находит исполняемые файлы с расширениями .EXE, .COM и .SCR, а также ярлыки .PIF. Однако, в отличие от других вирусов, XiaoBa никак не помечает уже зараженные приложения. В результате зловред может записывать сам себя в код других программ неограниченное количество раз и даже производить инъекции исполняемых файлов друг в друга. Из-за этой особенности новый XiaoBa быстро забивает диски.
Недостаток свободного пространства на жестком диске — это наименьшее из неудобств, с которым может столкнуться жертва заражения. Поскольку единственным критерием выбора цели является ее расширение, вирус внедряется в критические для работы Windows файлы в директориях %SystemRoot% и %ProgramFiles%.
Создатели вируса, вероятно, рассчитывали на то, что XiaoBa сможет добывать криптовалюту, работая в фоне запущенного пользователем приложения. Однако из-за ошибок в коде зловред блокирует работу программы, активируя лишь майнер. Учитывая привычку XiaoBa заражать системные файлы, можно предположить, что зараженный компьютер просто не загрузится.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
