Buer

A Buer Trojan betöltőt gyakran hívják Malware-as-a-Service-nek. Ez azt jelenti, hogy a Buer Trojan alkotói árut árulnak a föld alatti online piacokon, és bárki, aki hajlandó fizetni, kihasználhatja ezt a hackelési eszközt. Ez különösen fenyegető, nemcsak azért, mert nincs korlátozva a szereplők terjesztésének lehetősége, hanem azért is, mert a Buer Trojan rakodó nagyon jól kidolgozott eszköz. A kutatók szerint a Buer rakodót olyan veszély fenyegeti, amelyet az orosz malware fejlesztők építettek fel. A szakértők orosz nyelven írták a Buer Trojan hirdetéseit, azt állítva, hogy a fenyegetést vásárló felhasználók számára ingyenes ügyfélszolgálat és rendszeres frissítés lesz elérhető. A Buer rakodógép teljes ára 400 dollár, ami nem túl magas az, amit a szerzők kínálnak. A rosszindulatú programok kutatói több különféle hackelési kampányban felfedezték a Buer-trójai példányait, amelyek arra késztették őket, hogy azt higgyék, hogy már létezik több, a rossz gondolkodású fél, amely a fenyegetést terjeszti.

További kártékony programokat ültet a kompromittált gazdagépen

Úgy tűnik, hogy a Buer betöltőt terjesztő felek adathalász e-mailes kampányokat alkalmazhatnak. A csaló e-mailek gyakran tartalmaznak makróval rögzített dokumentumfájlt, amely a fenyegetés sérült kódját tartalmazza. A Fallout Exploit Kit eszközeként azonosították a Buer-trójai terjesztõi is. Trójai rakodóként a Buer rosszindulatú programjának további feladata az, hogy további fenyegetéseket telepítsen a sértett hostra. Néhány a fenyegetések volna használni a másodlagos rakományának a Buer trójai kampányok Amadey , TrickBot KPOT V2.0 között sokan mások. A betöltő megragadja a kiegészítő fenyegetések hasznos terheit az operátorok C&C (Command & Control) szerveréről.

Megszerzett önmegőrzés és kitartás

A Buer Trojan szerzői megbizonyosodtak arról, hogy néhány önmegőrzési technikát alkalmaznak a létrehozásukban. A megcélzott gazdagép megfertőzésekor a Buer betöltő ellenőrzi, hogy a behatolt rendszert használják-e fenyegetés elemzésre és rosszindulatú programok hibakeresésére. A vásárló trójai ellenőrzi az olyan szoftverek jelenlétét, amelyek jellemzően jelen vannak egy homokozó környezetben. Ez a trójai azt is ellenőrzi, hogy az általa veszélyeztetett rendszer Oroszországban vagy bármely más volt szovjet államban található-e. Ebben az esetben a vásárló trójai leállítja a műveletet. Annak érdekében, hogy megmaradjon a fertőzött gépen, a Buer betöltő megsérti a Windows beállításjegyzéket. Ez lehetővé teszi a Buer Trojan minden futtatását, amikor a sérült számítógép újraindul.

A Buer-trójai szerzők megtartották szavukat, és a művelet megkezdése óta jelentős számú frissítést tettek közzé. Nem valószínű, hogy hamarosan abbahagyják működését, mivel egyre növekszik az érdeklődés a Buer trójai rakodó iránt.