Virus vermomt zich als Google Chrome in Windows Register

Een truc die cybercriminelen toepassen om malware te verspreiden wordt nu ook gebruikt om de kwaadaardige programma’s in het Windows Register te verbergen. Het gaat om de zogeheten RTLO-truc. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Hierdoor wordt SexyPictureGirlAl[RTLO]gpj.exe in Windows als SexyPictureGirlAlexe.jpg weergegeven.

De Sirefef malware gebruikt dit unicode karakter om zich in het Windows Register te verstoppen, waar het zich als een registersleutel van Google Chrome voordoet. Het gaat om de sleutel “gupdate”, die identiek lijkt aan de Google Update Service. Wordt de registerwaarde van Sirefef zonder unicode-ondersteuning bekeken, dan wordt de werkelijke naam zichtbaar.
“Dit laat weer een gecoördineerde poging van malware zien om zichzelf in het zicht te verbergen door zich als iets anders voor te doen”, aldus Raymond Roberts van het Microsoft Malware Protection Center.

Bron: Security.nl