Троян Upclicker прячется за щелчком мышки

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 15 Dec 2012.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Троян Upclicker прячется за щелчком мышки

    Авторы вредоносных программ используют различные способы прятаться от виртуальных машин, где их функциональность пытаются исследовать специалисты антивирусных компаний. Они проверяют наличие процессов с определёнными названиями, определённые значения реестра, порты и проч. Например, зловред Shylock элегантным способом определяет наличие соединения по протоколу RDP.

    Эксперты компании FireEye обнаружили троян Upclicker, который демонстрирует новый трюк: он отслеживает активность мыши и начинает работу только после того, как пользователь нажмёт и отпустит левую кнопку мыши. Таким образом, в обычной виртуальной машине троян не покажет никакой активности, потому что там вся активность обычно автоматизирована и никто не работает с мышью.

    На иллюстрации показан фрагмент кода, в котором вызывается функция SetWinodwsHookExA с параметром 0Eh. Посмотрев в справочнике MSDN, можно убедиться, что эта функция отвечает за отслеживание мыши.

    [​IMG]

    На следующей иллюстрации показано, что после нажатия кнопки мыши вызывается функция UnhookWindowsHookEx() и функция sub_401170(), которая и отвечает за запуск вредоносного кода.

    [​IMG]

    Эксперты предполагают, что вредоносные программы в будущем будут всё чаще использовать подобные методы, отслеживая активность мыши, нажатия определённых клавиш, передвижения мыши или накопившийся пробег мыши, прежде чем начинать проявлять свои основные функции.

    15.12.2012
    http://www.xakep.ru/post/59819/
     
Loading...