Malware verlengt slaapstand van computers om detectie te voorkomen
Nieuw ontdekte malware verlengt de slaapstand van computers om detectie door automatische analysetools te voorkomen. De aanvallers achter de trojan passen vervolgens een fast flux-techniek toe om hun identiteit te verbergen. Het beveiligingsbedrijf FireEye noemt de malware ‘Trojan Nap’.
Zodra de malafide code wordt gedraaid verstuurt de malware een HTTP-verzoek naar het domein ‘wowrizep.ru’ en vraagt om het bestand ‘newbos2.exe’. De malware wordt echter niet direct afgespeeld en maakt gebruik van de time-out parameter 0x0927C0, die gelijk staat aan een timeout van 600.000 milliseconden. De malware wacht hierdoor met het afspelen van de kwaadaardigde code tot de machine ten minste tien minuten in slaapstand staat.
De malware wacht tot de analyse is afgerond
Geautomatiseerde analysesystemen zijn geconfigureerd om nieuwe code in een gespecificeerd tijdsframe te analyseren. Door de slaapstand te verlengen en de kwaadaardige code pas na tien minuten af te spelen gokken de aanvallers erop dat de analyse al is afgerond. Trojan Nap voorkomt hiermee dat analysesystemen zijn gedrag kunnen analyseren.