Хакерите все по-често използват инструментариума за зловредни активности Winos4.0 срещу потребителите на Windows. Той дава на нападателите ефективен контрол върху множество онлайн крайни точки.
Winos4.0 се разпространява чрез привидно безопасни инсталационни пакети за игри. Когато легитимните инсталатори бъдат изпълнени, те изтеглят DLL файл от „ad59t82g.com“ и започва процес на заразяване.
Той протича в няколко етапа:
- DLL-файлът (you.dll) изтегля допълнителен товар, настройва средата за изпълнение и добавя записи в регистъра на Windows;
- инжектираният код зарежда API, извлича данни за конфигурацията и установява връзка със сървъра на нападателя;
- друг DLL-файл извлича допълнително кодирани данни и ги съхранява в регистъра на адрес „HKEY_CURRENT_USER\\Console\\0“;
- зарежда се модулът за влизане в системата, който извършва основните злонамерени дейности.
Winos4.0 също така проверява за наличието на различни инструменти за киберсигурност в системата. По този начин той определя дали се изпълнява в наблюдавана среда и съответно коригира поведението си.
Злонамерените дейности, изпълнявани от Winos4.0, включват:
- събиране на IP адреси и данни за операционната система и конкретни разширения на портфейли за криптовалута;
- постоянна връзка със сървъра на нападателя, която му позволява да дава допълнителни команди;
- снимки на екрана, следене за промени в клипборда и кражба на документи.
Най-добрият начин да се защитите от тази напреднала заплаха е като не теглите игри от пиратски сайтове.