Malware Researcher ของ ESET ที่ชื่อว่า Slovak พบ malware ที่แอบซ่อนตัวในคอมพิวเตอร์เครื่องเหยื่อที่ชื่อว่า Stantinko

Backdoor ตัวนี้มีความพิเศษตรงที่แบ่งส่วนการทำงานและมีการพยายามซ่อนตัวจากการตรวจจับต่างๆ ตัว Stantinko นั้นมีการพยายามฝัง backdoor แบบ persistence ทำให้สามารถกลับมาทำงานได้เมื่อ reboot เครื่อง และมีการใช้ plugin ที่จะทำให้สั่งงานใดๆบนเครื่องเหยื่อได้ด้วย

ตัว Stantinko นั้นรอดจากการตรวจจับมาแล้วถึง 5 ปี ครั้งแรกที่เจอคือ 2012 และตัว Stantinko นั้น focus ไปที่การติดคนที่พูดภาษารัสเซียได้ ซึ่งมีทั้ง Russia (46%), Ukraine (33%), Belarus (8%), Kazakhstan (8%) ซึ่ง Stantinko แพร่กระจายผ่านโปรแกรมเถื่อนหรือโปรแกรม crack ที่ปล่อยผ่าน torrent นั่นเอง ตัว Stantinko จะแอบเนียนเป็น plugin แล้วหลอกให้ติดตั้ง backdoor ตอนที่กำลังติดตั้งโปรแกรมเถื่อนดังกล่าว

ซึ่งส่วนที่เห็นจากใน VDO คือ Browser Extension ที่ชื่อว่า “Teddy Protection” และ “The Safe Surfing.” จะเป็นส่วนหลักของ backdoor ซึ่งจะติดตั้ง windows service อีก 2 ตัวซึ่งทำให้กลับมาทำงานเมื่อ reboot ได้นั่นเอง เมื่อมี Antivirus นั้นตรวจจับเจอ service ใด service หนึ่ง, service อีกตัวจะทำการติดตั้ง service อีกตัวให้ทันที อีกทั้งในส่วนหลักจะมีส่วนที่เป็น loader และการเข้ารหัส component อื่นๆด้วย ซึ่งการเข้ารหัสจะทำทั้งในส่วนของการเก็บข้อมูลใดๆบน disk และ Windows Registry ตัว loader จะเป็นตัวที่ถอดรหัสไฟล์เหล่านั้นแล้วนำกลับมาใช้งานอีกที ส่วน Key ที่ใช้ในการเข้ารหัสนั้นถูกสร้างโดย base on ข้อมูลของเครื่องที่ติด ทั้งในส่วนของ Serial Number และอื่นๆ ทำให้การตรวจจับได้ยากมากขึ้น

และอีกส่วนหนึ่งที่แยกออกมาคือการรับการสั่งงานอีกที ซึ่งจากการตรวจสอบพบว่าเป็นการที่ใช้สำหรับการทำกิจกรรมพวก inject adware เท่านั้น(ตอนเปิดการใช้งานเว็บไซด์ใดๆ)

Source:: BleepingComputer