Utilizatorii sunt infectați printr-un atac drive-by asupra browserului și a componentelor acestuia printr-un set de exploite ale Sângerării prin viață. În special, modulele Acrobat Reader și JAVA sunt atacate.
În cazul în care calculatorul utilizatorului va fi vulnerabil la exploituri, sistemul stabilește troian MAX ++, care determină capacitatea sistemului pe care rulează. Prin urmare, se va încărca programul de instalare backdoor necesare MAX ++ (Backdoor.Win32.ZAccess.a / Backdoor.Win64.ZAccess.b).
Un fișier care este un volum virtual formatat în sistemul de fișiere NTFS, cu care rulează driverul malware. De asemenea, stochează toate modulele backdoor.
În cazul în care încărcătorul de boot rulează pe sistemul x64, computerul încărcat de instalare backdoor victimei, special elaborate pentru a rula pe sistemele pe 64 de biți. Acest backdoor conține un rootkit și este usermode-malware, o muncă repetitivă rootkit sub x32 cu singura diferență fiind că componentele sunt stocate în fișiere și
având o structură de directoare similară.
Autostartul pe x64 este furnizat de cheia de registry
Corpul backdoor-ului este localizat în folderul de sistem system32 numit consrv.dll. Modulele care sunt înapoiate după instalare sunt, de asemenea, proiectate pentru o platformă pe 64 de biți. Instalarea x64 MAX ++ este realizată implementând-o în services.exe folosind funcția ntdll! NtQueueApcThread. Dificultatea tratamentului sistemelor x64 infectate asociate cu pornirea malware-cheie: dacă ștergeți un fișier, nu repara registru cheie, sistemul nu va fi capabil să boot și va emite în schimb un BSOD la un moment dat de încărcare.
Articole similare
-
SUA raspandeste o noua infectie fatala - stiri medicale despre specialitate
-
Vocal prezinta noi castings stele - știri spectacol vocal și video
-
Tatiana Arntgolts va merge la cinema Sharifstan, știri - editura "un nou look"
Trimiteți-le prietenilor: