pendek karakterisasi
Bicololo ini ditandai dengan vektor serangan yang unik, yang tetap tidak berubah. Ini tujuan utama adalah untuk menyuntikkan dll korban / hosts dan mengarahkan lalu lintas dari situs yang paling sering digunakan sosial Rusia ke server phishing nya. Sasaran yang paling sering adalah vk.com, odnoklassniki.ru dan mail.ru. Setelah korban dengan jenis sistem yang terinfeksi alamat ini ke browser dia / dia disajikan dengan bentuk log-in palsu. Dan karena tidak ada layanan yang ditargetkan menggunakan koneksi yang aman melalui HTTPS secara default tidak ada cara sederhana bagi pengguna untuk mengetahui tentang bahaya berpose dan dia rela memberikan password kepada hacker.
Saat ini malware menyebar terutama dalam dua bentuk yang berubah secara dramatis sejak blog kami sebelumnya dan cepat bermutasi, melepaskan 2-4 versi baru per minggu. Hal ini bisa saja disebabkan oleh upaya aktif kami untuk melawan dengan cara terbaik yang kita bisa, sehingga penulis dipaksa untuk menambahkan pengacakan berat dan strip semua bagian yang tidak perlu.
saat ini versi
Yang paling umum "stabil" versi datang dalam wadah Kabinet self-extracting. Setelah dieksekusi, harganya turun empat file ke dalam beberapa subfolder Program Files aneh bernama, dan mereka berjalan. File turun pertama adalah BAT dikaburkan dan acak yang melakukan injeksi dll / aktual host. Dua lainnya file script Visual Basic. Salah satunya memuat sebuah file teks dengan URL dari counter infeksi dan mengirim pesan ada infeksi sukses. Dengan cara ini penulis melacak aktivitas malware mereka. Yang kedua membuat host yang terinfeksi mengajukan tersembunyi dan menciptakan dll file kosong / host dimana 'O' adalah surat cyrillic. Dengan cara ini infeksi tidak terlihat jika Windows diatur ke pengaturan default dan tidak menampilkan file yang tersembunyi.
Yang kedua, dan kami percaya masih "eksperimental" versi baru, sedikit lebih maju. Muncul sebagai self-extracting RAR dan tetes ke dalam folder Program Files juga. Biasanya berisi dua file yang dapat dieksekusi. Salah satunya cenderung beberapa program bersih tersedia secara bebas di internet. Misalnya kita melihat Filezilla FTP client, Minecraft game atau Windows 8 aktivator pekan lalu. Executable lain disusun oleh Visual Basic dan ia melakukan pekerjaan utama - menginfeksi file host dengan menjalankan sebuah BAT, menyembunyikan dan memberitahukan konter infeksi. Perlu dicatat bahwa BAT versi ini bahkan lebih acak. Selain itu versi ini menginfeksi registry Windows dan melakukan cek di awal sistem apakah file host yang terinfeksi masih di tempat.
Metode penyebaran
Yang lama Versi menyebar dengan men-download dari situs-situs hack, bagian penting dari mereka Wordpress atau Joomla! didukung. Link download terlihat seperti ini:
http:// *** estylehostel.ru / media / file / index.php? q = D1%% 81%%% BA% D0 D0 B0% D1% 87% D0% B0% D1 + jendela +8 = 1 & zip
http://***enn.ru/blogs/file/?q=%FE%E0%F0+%F1%EB%E0%E9%E4%FB+%F0%E5%F4%E5%F0%E0%F2%2D55479%2D55479&zip=1
http://srv16499 *** nkddns.com / download.php.? q = asku_na_telefon_ldzhi.zip
Query string dapat berisi URL-encoded nama file kontainer serta beberapa perintah sederhana untuk generator. Dengan cara ini penampilan akhir dari virus tergantung pada permintaan URL dan versi yang lebih sedikit berbeda dapat didownload dari hanya satu generator yang membuat deteksi lebih sulit.
Yang paling menarik tentang versi yang lebih baru adalah penggunaan cara yang sangat efektif untuk menyebarkan. Ini menggunakan website dibajak juga, tetapi dengan cara yang berbeda. Jika URL tunggal digunakan untuk mendistribusikan virus dapat dengan mudah diblokir. Masalahnya muncul ketika ada banyak dari mereka. Penulis malware menemukan kelemahan ini dan menggunakannya keuntungan mereka. Mereka memodifikasi situs default HTTP error 404 (Not found) handler untuk mengirim virus. Hal ini memberikan penyerang jumlah hampir tak terbatas kemungkinan URL yang men-download virus! Semua mereka harus lakukan adalah untuk memposting beberapa link yang rusak. Berikut adalah contoh situs yang terinfeksi tersebut.
http:// *** smeigh.com
http:// *** sgrisparlour.com
Satu pertanyaan masih harus diminta. Apa yang membawa pengguna ke URL yang terinfeksi? Apa yang kita lihat adalah bahwa penulis virus menyajikan URL tersebut sebagai link download untuk game, retak dan keygens di banyak situs sosial yang berbeda dan forum. Kami telah mendeteksi virus dikirim sebagai lampiran email atau upload ke layanan file sharing juga. Screenshot berikut menunjukkan link download virus ditambahkan ke panduan video instalasi YouTube menyajikan suatu celah suara ke jaringan sosial Rusia.
Perlindungan dengan avast!
Keluarga ini malware Rusia bermutasi dan menyebar dengan cepat. Tidak ada indikasi kecenderungan ini harus berhenti. Untuk melindungi sistem Anda terhadap benang Bicololo kami menyarankan Anda untuk menggunakan versi terbaru dari avast! dengan autosandbox diaktifkan, karena berhasil mendeteksi bahkan terbaru verisons Bicololo.
