Utviklerne av den berømte banktrojaneren TrickBot blir stadig bedre deres program.This tid, de kriminelle lærte TrickBot å slå av Windows Defender.
Mnoen brukere er avhengige av Windows Defender, siden det er et antivirusinnebygd i Windows 10.MalwareHunter teamet forsket denne prosessen.
Etter å ha startet denne versjonen av TrickBot, den trojanske utfører følgende trinn:
- Deaktiverer og deretter sletter WinDefend tjenesten.
- Avslutter MsMpEng.exe, MSASCuiL.exe og MSASCui.exe prosesser.
- Legger til Windows DisableAntiSpyware politikk og aktiverer den for å deaktivere Windows Defender og andre programmer.
- Deaktiverer sikkerhetsvarsler i Windows.
- Deaktiverer sanntidsbeskyttelse.
“Når TrickBot oppdager visse sikkerhetsprogrammer installert, det vil konfigurere en debugger for at prosessen ved hjelp av Image File Execution Options-registernøkkelen. Dette fører debugger å lansere før programmet som kjøres, og hvis det debugger ikke eksisterer, den forventede programmet vil mislykkes i å lansere”, - MalwareHunterTeam spesialister sier.
Bank Trojan var ikke begrenset til denne virksomheten bare. Ifølge MalwareHunter Lag eksperter som har utført reverse engineering av TrickBot, malware bruker så mange som 12 flere metoder for å deaktivere Windows Defender og Microsoft Defender APT.
"Som du kan se, utviklerne av TrickBot er konstant overvåking for nye triks og metoder for å omgå sikkerheten og holde forskere på tå hev, og vi bør forvente å se denne oppførselen fortsetter”, - konkludere med er eksperter.
Les også: Banking Trojan TrickBot lært å spam og har allerede samlet inn 250 million e-postadresser
Trickbot er en bank trojaner som forsøker å stjele nettbank legitimasjon, kryptovaluta lommebøker, nettleserinformasjon, og annen legitimasjon lagret på din PC og nettleser.
