Powered By Blogger

25 de set. de 2011

Novas Técnicas de Trojan Disfarçadas como Arquivos PDF

Os usuários do Windowsforam avisados ​​sobre ícones de extensões de malware, que pertencem a arquivos associados à software legítimo, notavelmente em formatos PDF, DOC e arquivos XLS.Detectado como Trojan Dropper: OSX / Revir.A., o malware vem disfarçado como um arquivo PDF para enganar usuários. Apesar disso, vendedores ambulantes de malware têm tido um sucesso absurdo com a aplicação desta técnica simples. Não é de admirar, então, que eles tentariam usá-lo em usuários de Mac também.

Dessa forma, a expert em segurança F-Secure tem compartilhado seu conhecimento sobre um Trojan (dropper) que nesse segmento específico de usuários, vem disfarçado como um arquivo PDF. Os pesquisadores acreditam, que essa seja a amostra analisada do que é o trabalho de desenvolvimento da praga virtual em progresso (uma versão beta, se o usuário preferir), do produto final.

Isso foi recebido a partir do VirusTotal, e acreditam que o autor o submeteu ao site, a fim de ver como muitas das soluções AV utiliadas pelo popular serviço de arquivo será acionado por ele.


Amostra do Trojan e Instalação de Backdoor

A amostra disponível, começa seu ataque soltando e abrindo um arquivo PDF, contendo um documento político no idioma chinês. Na sequência, um backdoor é instalado, o que permitiria que atacantes localizados remotamente pudessem acessar o computador infectado. De acordo com os pesquisadores, a C & C do malware é apenas uma instalação Apache, e ainda não é capaz de se comunicar com o backdoor.

Eles também apontam que a amostra recebida, ainda não tem uma extensão ou um ícone. "No entanto, há outra possibilidade: é um pouco diferente no Mac, onde o ícone é armazenado em um fork separado, que não é facilmente visível no OS.

Além disso, a extensão e o ícone poderiam ter sido perdidos quando a amostra foi submetida aos pesquisadores. Se este for o caso, o tal malware pode ser ainda mais furtivo que no Windows, porque a amostra pode utilizar qualquer extensão que desejar.

Nenhum comentário: