은행 트로이 TrickBot의 새로운 버전 “시작하다” Windows Defender를

유명한 은행 트로이 TrickBot의 개발자들은 지속적으로 자신의 program.This 시간을 개선하고, 사이버 범죄자는 Windows Defender를 해제하려면 TrickBot을 가르쳐.

엠모든 사용자는 Windows Defender를에 의존, 그것은 윈도우에 내장 된 안티 바이러스이기 때문이다 10.

MalwareHunter 팀 조사 이 과정.

TrickBot이 버전을 출시 한 후, 트로이 목마는 다음 단계를 수행합니다:

• 비활성화하고 WinDefend 서비스를 삭제.
• MsMpEng.exe는 종료, MSASCuiL.exe 및 MSASCui.exe 프로세스.
• 윈도우 DisableAntiSpyware 정책을 추가하고 Windows Defender를하고 다른 프로그램을 사용하지 않도록를 활성화.
• Windows의 보안 알림을 해제합니다.
• 실시간 보호 기능을 사용하지 않습니다.

“TrickBot 설치 특정 보안 프로그램을 감지하면, 그것은 이미지 파일 실행 옵션 레지스트리 키를 사용하여 해당 프로세스에 디버거를 구성합니다. 이 실행되는 프로그램 전에 시작하는 디버거의 원인, 그 디버거가 존재하지 않는 경우, 예상 프로그램 시작 실패”, - MalwareHunterTeam 전문가가 말한다.

은행 트로이 목마는이 활동에 제한되지에만. MalwareHunter 팀 전문가에 따르면 TrickBot의 리버스 엔지니어링을 수행하는 사람들, 악성 코드는만큼을 사용합니다 12 추가 방법은 Windows Defender는 마이크로 소프트 수비수가 APT 비활성화.

"다른 이름으로 당신을 볼 수 있습니다, TrickBot의 개발자들은 지속적으로 보안을 무시하고 자신의 발가락에 연구원을 유지하기 위해 새로운 트릭과 방법에 대한 모니터링하고 우리는 "이 동작을 계속 볼 것으로 예상한다, - IS 전문가 결론.

또한 읽기: 뱅킹 트로이 목마 TrickBot 스팸 배운 이미 수집 한 250 만 개 이메일 주소