Virus, ki se potuhne kar v lastni VirtualBox

Objavljeno: 25.5.2020 05:00 | Teme: virus

Pisci zlonamerne programske opreme so iznašli še en trik, kako se izogniti odkritju. Malware z imenom RagnarLocker, ki napada zgolj pomembne tarče in ne običajnih uporabnikov interneta, je v drugo smer izkoristil pristop, ki se uporablja pri analizi in zaščiti pred malwarom. RagnarLocker namreč ustvari lasten navidezni stroj, v katerega se naseli in tako izogne odkritju.

Navidezni stroj, ki ga ustvari, temelji na Oraclovem VirtualBoxu. Vanj namesti oskubljeno verzijo Windows XP, ki poganja virus. VirtualBox nastavi tako, da ima prek deljenih map dostop do vseh datotek na gostiteljevem računalniku. Ker pa se koda izvaja v navideznem stroju, ga protivirusni program gostitelja ne prepozna. Ta bo opazil le, da so se datoteke na disku nenadoma zamenjale z zašifriranimi verzijami, kar pa je storil legitimen proces – VirtualBox.

To je prvi malware, ki tudi v praksi izkorišča maskiranje v VirtualBoxu.

Sophos.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki