Bu virüs bilgisayarınızı ele geçirip verilerinizi çalabiliyor
Teknik anlamda ilginç bir download yazılımı tespit edildi. Geleneksel olmayan birçok tekniğin arasında bir tanesi özellikle göze çarpıyor. Kötü amaçlı yazılım, “Default Print Monitor” adı altında yeni bir yerel port oluşturuyor. Zararlı yazılım DePriMon adını da buradan alıyor.
by MynetESET’in elde ettiği veriler, kötü amaçlı DePriMon yazılımının en azından Mart 2017’den beri aktif durumda olduğunu ortaya koyuyor. Bu virüs, Orta Avrupa merkezli özel şirketlerde ve Orta Doğu bölgesindeki bilgisayarlarda algılandı.
ESET, bu virüsün sıra dışı derecede gelişmiş bir indirme yazılımı olduğunu, geliştiricilerinin mimarisini oluştururken ve önemli bileşenlerini tasarlarken ekstra çaba sarf ettiğini düşünüyorlar.
DİSKTE DEPOLANMIYOR
Bu virüs belleğe indiriliyor ve yansıtıcı DLL yükleme tekniği kullanılarak doğrudan bellekten yürütülüyor. Asla diskte depolanmıyor.
İçinde ilginç öğelerin yer aldığı, şaşırtıcı derecede kapsamlı bir yapılandırma dosyasına sahip, şifrelemesi düzgün uygulanmış ve komuta-kontrol iletişimini etkili bir şekilde koruyor.
SİSTEM VE KULLANICI BİLGİSİ TOPLUYOR
Sonuç olarak bu virüs, bir veri yükünü indirip çalıştıracak ve bu süreçte sistem ve kullanıcısı ile ilgili bazı temel bilgileri toplayacak şekilde tasarlanmış güçlü, esnek ve kararlı bir araç olarak dikkat çekiyor.
Zararlı yazılımlarla ilgili veri tabanlarını analiz eden ancak söz konusu tekniği kullanan başka örneğe rastlamayan ESET araştırmacılarına göre bu virüs, ‘Bağlantı Noktası Monitörleri‘ tekniğini kullanan ilk örnek olarak öne çıkıyor.