How To Fix A Mouse That Is Going Crazy On A PC
Índice:
"Suspeitamos que esse documento armado tenha sido usado para atingir os governos do Oriente Médio e da Ásia Central", disse Chong Rong Hwa, pesquisador da FireEye, em um post no blog.
[Leitura adicional: Como remover malware do seu PC Windows]
Ataque multiestágio
O ataque funciona em múltiplos estágios. O documento malicioso faz o download e executa um componente que tenta determinar se o ambiente operacional é virtualizado, como uma caixa de proteção antivírus ou um sistema automatizado de análise de malware, aguardando para ver se há alguma atividade do mouse antes de iniciar o segundo estágio de ataque. O monitoramento de cliques de mouse não é uma nova técnica de evasão de detecção, mas malwares que o usaram no passado geralmente são checados por um único clique do mouse, disse Rong Hwa. BaneChant espera pelo menos três cliques do mouse antes de continuar a descriptografar uma URL e baixar um programa backdoor que se disfarça como um arquivo de imagem.jpg, disse ele.O malware também emprega outros métodos de evasão de detecção. Por exemplo, durante o primeiro estágio do ataque, o documento mal-intencionado faz o download do componente do dropper de uma URL ow.ly. Ow.ly não é um domínio malicioso, mas é um serviço de encurtamento de URL.
A lógica por trás do uso desse serviço é ignorar serviços de lista negra de URLs ativos no computador de destino ou em sua rede, disse Rong Hwa. (Consulte também "Spammers abusam do serviço de encurtamento de URL.gov em esquemas de trabalho em casa".
Da mesma forma, durante o segundo estágio do ataque, o arquivo.jpg malicioso é baixado de uma URL gerada com a dinâmica No-IP Serviço de DNS (Domain Name System).
Depois de ser carregado pelo primeiro componente, o arquivo.jpg abre uma cópia de si mesmo chamado GoogleUpdate.exe na pasta "C: ProgramData Google2 \". Ele também cria um link ao arquivo na pasta de inicialização do usuário para garantir sua execução após cada reinicialização do computador.
Esta é uma tentativa de induzir os usuários a acreditarem que o arquivo faz parte do serviço de atualização do Google, um programa legítimo que normalmente é instalado em "C: Arquivos de programas Google Update \", disse Rong Hwa.
O programa backdoor reúne e carrega informações do sistema de volta para um servidor de comando e controle. Ele também suporta vários comandos, incluindo um para baixar e executar arquivos adicionais nos computadores infectados.
À medida que as tecnologias de defesa avançam, o malware também Volves, disse Rong Hwa. Nesse caso, o malware usou vários truques, incluindo a análise do sandbox detectando comportamento humano, evitando a tecnologia de extração binária em nível de rede, executando criptografia XOR multibyte de arquivos executáveis, mascarando-se como um processo legítimo, evitando análises forenses usando código malicioso carregado diretamente na memória e impedindo a lista negra de domínios automatizada usando o redirecionamento via encurtamento de URL e serviços de DNS dinâmicos, disse ele.
Pesquisadores de segurança estão vendo uma pressão renovada do Gumblar, o nome de um código malicioso que se espalha comprometendo Web legítimos Pesquisadores de segurança estão vendo um ressurgimento do Gumblar, o nome de um código malicioso que se espalha por meio do comprometimento de sites legítimos, mas inseguros. Em maio, milhares de sites foram encontrados hackeados servir um iframe, que é uma maneira de levar o conteúdo de um site para outro. O iframe levou ao domínio "gumblar.cn&qu
O Gumblar também mudou suas táticas. Em vez de hospedar a carga maliciosa em um servidor remoto, os hackers agora colocam esse código em sites comprometidos, dizem os fornecedores da IBM e da ScanSafe. Também parece que o Gumblar foi atualizado para usar uma das vulnerabilidades mais recentes nos programas Adobe Reader e Acrobat, de acordo com o blog IBM Security Systems Frequency X.
Pesquisadores do fornecedor de segurança AlienVault identificaram uma variante de uma exploração do Internet Explorer recentemente descoberta que é usada para infectar computadores de destino com o programa RAT (Remote Access Trojan). A variante de exploração recém-descoberta visa a mesma vulnerabilidade não corrigida no IE 6, 7, 8 e 9 como a exploração original, mas usa um código ligeiramente diferente e tem uma carga útil diferente, disse o gerente da AlienVault Labs, Jaime Blasco, em um post
[Leia mais: Como remover malware do seu PC Windows]
Senhas específicas de aplicativos enfraquecem a autenticação de dois fatores do Google, dizem pesquisadores Pesquisadores descobriram uma brecha no sistema de autenticação do Google que permitia para ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para aplicativos individuais.
Pesquisadores do provedor de autenticação de dois fatores Duo Security descobriram uma brecha no sistema de autenticação do Google que permitiu ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para conectar aplicativos individuais às contas do Google.