Обнаружен вирус, противодействующий анализу кода и способный скрывать свои следы

6 октября специалисты в вопросах антивирусной защиты столкнулись с новым RAT-инструментом удаленного доступа, который может обходить современную защиту, при этом предоставляя преступнику неограниченный доступ ко взломанному устройству. Сотрудники компании enSilo из Израиля впервые обнаружили троянца, которого впоследствии назвали Moker, в сети компании-клиента, подчеркнув, что не имеют представления, как зловред очутился в системе.

По словам Йотама Готтесмана, одного из исследователей вирусов, обнаруженный софт наверняка принадлежит к слабо изученным разновидностям вредоносного программного обеспечения, так как в базах VirusTotal он не значится. В процессе тестирования было выявлено, что троянец хорошо приспособлен скрывать свои следы. Сотрудники исследовательской компании отметили, что он обходит антивирусную защиту, виртуальные машины и песочницы. Используя технологию антидебаггинга, призванную затруднять изучение программного кода, вирус способен вводить специалистов по вопросам антивирусной защиты в заблуждение. Рассказывая от алгоритмах функционирования вируса Moker, Готтесман сообщает, что среди его средства противодействия детектированию – двухэтапная установка и самошифрование. Сложному анализу вирусного приложения способствуют его непростой код и ряд сопровождающих инструкций, которые вводят в заблуждение специалистов.

Со времени попадания в систему, троянец начинает представлять серьезную угрозу. Атакующий получает возможность осуществлять перехват сетевого трафика, делать снимки экрана и копировать файлы. Также он может вносить изменения в настройки системной безопасности, создавать новые учетные записи и интегрировать вредоносный код в систему. Разработчик этого ПО не выявлен, однако известно, что он имеет отношение к серверу, размещенному в Черногории.

Исследователи обращают внимание еще на одну черту зловреда – он функционирует, даже будучи не связанным с C&C-сервером. Они отмечают, что несмотря на его нацеленность на однократное использование, используемые в нем наработки могут быть использованы другими преступниками.