Buer
Buer Trojan -latauslaitetta kutsutaan usein haittaohjelmaksi palveluna. Tämä tarkoittaa, että Buer-troijalaisen luojat myyvät sitä hyödykkeeksi maanalaisilla online-markkinoilla, ja kuka tahansa, joka on halukas maksamaan, voi hyödyntää tätä hakkerointityökalua. Tämä on erityisen uhkaavaa, ei vain siksi, että uhrien levittämiselle ei ole rajaa, vaan myös siitä syystä, että Buer Trojan -kuormaaja on erittäin hyvin kehitetty työkalu. Tutkijoiden mukaan Buer-kuormaaja on uhka, jonka ovat rakentaneet venäläiset haittaohjelmien kehittäjät. Asiantuntijat ovat huomanneet venäläisin kirjoitetuista Buer Trojan -mainoksista, joissa väitetään, että uhan ostaville käyttäjille tarjotaan ilmainen asiakastuki ja säännölliset päivitykset. Buer-kuormaajan täysi hinta on 400 dollaria, mikä ei ole kovin korkea hinta siitä, mitä sen kirjoittajat tarjoavat. Haittaohjelmien tutkijat ovat havainneet kopioita Buer-troijalaisesta useissa erilaisissa hakkerointikampanjoissa, minkä johdosta he uskoivat, että uhan levittäjinä on jo useita harhaanjohtavia osapuolia.
Istuttaa ylimääräisiä haittaohjelmia vaarannetussa isännässä
Vaikuttaa siltä, että Buer-lataajaa levittävät osapuolet saattavat käyttää tietojenkalastelua koskevia sähköpostikampanjoita. Vilpilliset sähköpostiviestit sisältävät usein makropalatun asiakirjatiedoston, joka sisältää uhan vioittuneen koodin. Fallout Exploit Kit on myös tunnistettu välineeksi, jota Buer-troijalaista levittävät näyttelijät käyttävät. Troijalaislataajana Buer-haittaohjelman tehtävänä on istuttaa uusia uhkia vaarannetulle isäntälle. Jotkut Buer Trojan -kampanjoissa toissijaisena hyötykuormana käytetyistä uhista ovat muun muassa Amadey , TrickBot KPOT V2.0 . Kuormaaja tarttuu operaattorien C&C (Command & Control) -palvelimen lisäuhkien hyötykuormiin.
Itsensä säilyttäminen ja saavutettu pysyvyys
Buer-troijalaisen kirjoittajat ovat varmistaneet, että ne toteuttavat luomisessaan joitain itsesäilytystekniikoita. Kun tartunnan kohteena oleva isäntä on, Buer-kuormaaja tarkistaa, käytetäänkö läpäistyä järjestelmää uhka-analyysiin ja haittaohjelmien virheenkorjaukseen. Buer-troijalainen tarkistaa sellaisten ohjelmistojen olemassaolon, joita tyypillisesti esiintyy hiekkalaatikkoympäristössä. Tämä troijalainen tarkistaa myös, sijaitseeko järjestelmä, jonka se on vaarannut, Venäjällä tai muussa entisen Neuvostoliiton valtiossa. Jos näin on, Buer Trojan lopettaa operaation. Saadakseen pysyvyyden tartunnan saaneessa koneessa Buer-latauslaite peukaloi Windowsin rekisteriä. Tämä antaa Buer-troijalaisen ajaa joka kerta, kun uhanalainen tietokone käynnistetään uudelleen.
Buer-troijalaisen kirjoittajat ovat pitäneet sanansa ja julkaissut huomattavan määrän päivityksiä operaation aloittamisen jälkeen. On epätodennäköistä, että ne lakkaavat toimimasta pian, kun kiinnostus Buer Trojan -kuormaajaan kasvaa.
