image

Scareware weert virusscanner met Shakespeare

vrijdag 2 maart 2012, 12:01 door Redactie, 0 reacties

Een nep-virusscanner gebruikt Shakespeare’s Romeo en Julia om echte beveiligingssoftware op afstand te houden. De scareware gebruikt namen als "Windows Threats Destroyer", "Windows Firewall Constructor", "Windows Attacks Preventor" en "Windows Basic Antivirus”. Elk exemplaar wordt als een zichzelf uitpakkend RAR-archief verspreid, dat weer een tweede RAR-archief bevat. Dit tweede archief bevat het installatieprogramma, maar dat is met een wachtwoord beveiligd.

Dat wachtwoord staat in een script dat weer in het eerste RAR-bestand zit. In het script staat wat er moet gebeuren als het uitpakprogramma draait, zoals het gebruik van het wachtwoord. De laatste dagen proberen de malwaremakers de scripts te obfusceren, waardoor ze lastiger door virusscanners zijn te analyseren.

Romeo en Julia
"Aangezien de RAR uitpakprogramma scripts als onderdeel van de archief-optie worden opgeslagen, wordt bijna alles wat het uitpakprogramma doet niet als een instructie gezien en genegeerd, wat betekent dat elke tekst kan worden toegevoegd zonder dat de functionaliteit verandert", zegt Hamish O'Dea van het Microsoft Malware Protection Center.

De makers hebben dan ook een deel van Romeo en Julia als afleiding toegevoegd, maar tussen de tekst staan de instructies voor het archiefprogramma. "Dit soort tactieken maken het lastiger voor virusscanners om het distributiepakket van de malware te bekijken, en ze benadrukken de noodzaak voor real-time malware detectie", merkt O'Dea op.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.