Trojan ailesinin yeni ve çok tehlikeli bir sürümü 8 Haziran 2016 itibariyle tesbit edilmişdir. Siber güvenlik uzmanları Antidetect.B ismini vermiş durumdalar. Sanal ortamda çok hızlı bir şekilde de ilerlemeye devam etmektedir.

Antidetect.B mevcut antivirüs yüklü sistemlerin algılanmasını önlemek için meşru bir dijital imza kullanmanıza olanak bulmuştur. Bu işlemi Microsoft Kayıt Server(Regedit)'i manipüle ederek bu bölüme yapmış olduğu kayıtlar ile sağlamaktadır. Kötü amaçlı olan bu yazılım geçerli bir dijital imza ile birlikte geliyor. İlk bakışta güvenilir görünen dosya, dijital geçerli bir sertifika ile imzalanmış olduğundan son derece tehlikeli bir durum olarak karşımıza çıkıyor.

Enfeksiyon Döngüsü

- Bu malware aşağıdaki dosya ve ikonu ile karşımıza çıkmaktadır.

- Aşağıdaki yollara dosya ve kayıt dosyasına gerekli register işlemini gerçekleştiriyor.

Malware.exe

%Userprofile%\Local Settings\Application Data\[Random Name]\[Random Name].exe

Register keyleri

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- Microsoft Register Server manüpüle ederek girmiş olduğu anahtarları Regedit.exe ile bakmak istediğiniz taktirde görüntülemenize izin vermeyecektir.

- Kötü amaçlı yazılım sisteminizden UID oluşturur ve onun kayıt defteri anahtarlarını aşağıdaki üzerine kaydeder:

- Aşağıdaki bir örnektir.

- Kötü amaçlı yazılım kopyalarını "%Userprofile%\Local Settings\Application Data\" klasör yoluna rastgele isimlerle oluşturur ve Regsvr32.exe enjekte eder.

- Aşağıdaki bir örnektir.

- Antidetect.B, etkisini raporlamak için 80 ve 8080 portları üzerinden kendi C & C sunucusuna bağlanır ve aşağıdaki gibi bilgileri kendine gönderir.

- Command and Control Traffic

Artık bu tür trojan, malware ve virüs içerikli dosyalar ile sıradan bir antivirüs ile başetmek zorlaşmaktadır. Günümüzde UTM cihazlarının önemini günümüzde bir hayli artmaktadır.