A empresa de segurança Kaspersky Labs descobriu um novo malware que não instala nenhum arquivo no PC da vítima.
Descrito pelos pesquisadores da empresa como um malware “único” e “muito raro”, ele injeta a partir da Web uma dll criptografada diretamente na memória do processo javaw.exe.
Este modo de operação indica que tanto o Windows como o Mac OS X são afetados por ele, além de tornar mais difícil sua detecção pelos antivírus já que ele é executado dentro de um processo confiável.
Depois que a dll é injetada com sucesso na memória do processo javaw.exe, o malware tenta enganar o UAC (Controle de Conta de Usuário) do Windows. Com isso, o Trojan-Spy.Win32.Lurk será baixado, instalado e se conectará a uma botnet.
Esta tentativa de instalação é a principal tarefa do malware, já que viver na memória RAM significa que ele será removido caso o computador seja reinicializado antes que ela seja concluída.
A injeção da dll só é possível graças a uma vulnerabilidade no Java, a CVE-2011-3544. Ela já foi corrigida pela Oracle em 2011, mas muitos usuários não costumam instalar as atualizações para o Java assim que elas são disponibilizadas.
De acordo com a Kaspersky, o malware é servido através de anúncios maliciosos presentes em sites russos. A empresa de publicidade já foi contatada para removê-los.
Descrito pelos pesquisadores da empresa como um malware “único” e “muito raro”, ele injeta a partir da Web uma dll criptografada diretamente na memória do processo javaw.exe.
Este modo de operação indica que tanto o Windows como o Mac OS X são afetados por ele, além de tornar mais difícil sua detecção pelos antivírus já que ele é executado dentro de um processo confiável.
Depois que a dll é injetada com sucesso na memória do processo javaw.exe, o malware tenta enganar o UAC (Controle de Conta de Usuário) do Windows. Com isso, o Trojan-Spy.Win32.Lurk será baixado, instalado e se conectará a uma botnet.
Esta tentativa de instalação é a principal tarefa do malware, já que viver na memória RAM significa que ele será removido caso o computador seja reinicializado antes que ela seja concluída.
A injeção da dll só é possível graças a uma vulnerabilidade no Java, a CVE-2011-3544. Ela já foi corrigida pela Oracle em 2011, mas muitos usuários não costumam instalar as atualizações para o Java assim que elas são disponibilizadas.
De acordo com a Kaspersky, o malware é servido através de anúncios maliciosos presentes em sites russos. A empresa de publicidade já foi contatada para removê-los.
Via: Baboo
Nenhum comentário