Hjem » Nyheder » Den nye version af bank trojanske TrickBot “skydes i gang” Windows Defender

Den nye version af bank trojanske TrickBot “skydes i gang” Windows Defender

Udviklerne af den berømte bank trojanske TrickBot er konstant at forbedre deres program.This tid, de cyberkriminelle lærte TrickBot at slukke Windows Defender.

Meventuelle brugere er afhængige af Windows Defender, da det er et antivirus indbygget i Windows 10.

MalwareHunter Team undersøgt denne proces.

Efter lanceringen denne version af TrickBot, den trojanske udfører følgende trin:

  • Deaktiverer og derefter sletter WinDefend tjeneste.
  • Afslutter MsMpEng.exe, MSASCuiL.exe og MSASCui.exe processer.
  • Tilføjer Windows DisableAntiSpyware politik og aktiverer den til at deaktivere Windows Defender og andre programmer.
  • Deaktiverer sikkerhedsmeddelelser i Windows.
  • Deaktiverer real-time beskyttelse.

“Når TrickBot registrerer visse sikkerhedsprogrammer installeret, det vil konfigurere en debugger til denne proces ved hjælp af Image File Execution Options Registry nøgle. Dette bevirker, at debugger til at lancere før det program, der udføres, og hvis det debugger findes ikke, den forventede program vil undlade at lancere”, - MalwareHunterTeam specialister siger.

Bank Trojan var ikke begrænset til denne virksomhed kun. Ifølge MalwareHunter Team eksperter, der gennemførte reverse engineering af TrickBot, malware bruger så mange som 12 yderligere metoder til at deaktivere Windows Defender og Microsoft Defender APT.

"Som du kan se, udviklerne af TrickBot er konstant overvågning af nye tricks og metoder til at omgå sikkerheden og holde forskere på tæerne, og vi kan forvente at se denne adfærd fortsætte”, - konkludere er eksperter.

Læs også: Banking Trojan TrickBot lært at spam og har allerede indsamlet 250 million e-mail adresser

Reference:

TrickBot er en bank trojansk at forsøg på at stjæle netbank legitimationsoplysninger, cryptocurrency tegnebøger, browser information, og andre legitimationsoplysninger gemt på din pc og browser.

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Smominru botnet Hurtigt Spreads hurtigt

Smominru botnet hurtigt spreder og den fine kombination da løbet 90 tusinde computere hver måned

Cryptocurrency minedrift og identitetstyveri botnet Smominru (også kendt som Ismo) began to spread incredibly

TFlower ransomware bruger RDP

Forskere siger om stigende aktivitet TFlower, en anden ransomware der bruger RDP

Ifølge bleeping Computer, aktiviteten af ​​TFlower, en ransomware der bruger RDP og er …

Skriv et svar