Dell SecureWorks CTU araştırma ekibi malware bir parça analiz ve ana modülün kod gizlemek için dijital steganografi kullanan Stegoloader yenilenmesini tespit zamanlarda etti. Kodun bu gizli kısmı Taşınabilir Ağ Grafikleri içinde gizlidir (PNG) meşru bir web sitesinden indirilebilir edebilecek resim.
================================================== ========================
================================================== ========================
Devam Stegoloader
Ayrıca Win32 / Gatak.DR ve TSPY_GATAK.GTK olarak bilinen bu zararlı yazılım malware yeni bir tür. Aslında, Stegoloader zararlı yazılım dünyasının sahnede teknik olarak yeni değil ama sadece onun yenilenen versiyonu vardır. Bu Truva atları kötü amaçlı aileden ve en azından bu yana faaliyet göstermektedir 2013 ve henüz nispeten unknown.Recently olduğunu, yenilenmiş enfeksiyonlar PC kullanıcıları ile tespit edilmiştir ve kontaminasyondan kimse sadece bir web sayfasını ziyaret bulaşmış olsun bekliyoruz neredeyse algılanamaz.
PNG dosyası yoluyla Uygulanan Stegoloader Dağıtım
Bu yazılım korsanlığı web siteleri aracılığıyla yayılır, Yazılım lisans anahtarı jeneratörlerinin bir paketi ile. Stegoloader ana modül Taşınabilir Ağ Grafikleri içindeki kod bölümünü gizlemek için dijital steganografi kullanır (PNG) meşru bir web sitesinde sunulan görüntü, söylendiği gibi. Trojan bu zararlı türü bu görüntüyü o her çalıştığında indirerek dağıtır ve görüntüden kodunu ayıklamak için steganografi kullanır. kötü amaçlı yazılım sabit diske kaydedilmiş hiçbir zaman ve hafıza ile doğrudan tamamlanır, tespit edildiği zorlaştırır.
→“Görüntüyü indirdikten sonra, Stegoloader görüntü sıkıştırmasını gdiplus kitaplığını kullanır, Her pikselin erişmek, ve her bir pikselin renk en az bit çıkarmak. çıkartılmış veri akışı RC4 algoritması ve bir kodlanmış anahtar kullanılarak deşifre edilir.” Dell SecureWorks CTU araştırma ekibi bir blog yazısında açıkladı.
Tekniği Basit mı ve iki aşamadan oluşmaktadır
- bilgisayar dağıtım için güvenli olup olmadığını ilk aşama belirliyor. Stegoloader güvenlik analizi sistemi ve gücünün türü için kontrol ediyor. Bu analiz farenin pozisyonunun sık değişiklikle gider ama tutumunu değiştirmek olamazdı olarak gerekli değil ve bu durumda zararlı yazılım herhangi zararlı aktivitesi gösteren olmaksızın sona erer.
- İkinci aşama ana dağıtım modu indiriyor. Stegoloader sonucu net değilse, o zaman indirir ve ana mod biterse. Bu temel getirilirken bunun gerçekleşmesini, PNG dosyası her gün, Sık sık güvenilir ve meşru web sitesinde barındırılan.
ayrıca, Stegoloader özelliklerinden bazıları sadece kötü amaçlı yazılım operatörün ilgi bağlı tehlikeye sistemleri üzerinde dağıtılan. Modüler tasarımı necessary.That soruşturmalar sırasında zararlı yazılım yetenekleri sınırlamadığı zaman onun operatör modüllerini uygulamaya izin verir ve mühendislik analizi tersine çevirir. Bu sınırlı poz tehdit aktörleri değerlendirmek için zorlaştırır’ niyet tam. CTU araştırmacılar tarafından analiz modülleri çoğunlukla erişilen belgeler listesi, Son zamanlarda web sitelerini ziyaret etti, yüklü programları numaralandırmak, çalıntı şifreler, ve IDA aracı için alınan yükleme dosyalarının.