Проведенный в Check Point анализ показал, что LitterDrifter незамысловат и состоит из двух основных компонентов: один отвечает за самораспространение через USB-накопители, а другой – за связь с C2-сервером.spbIT.ru
Если конфигурационного файла нет, скрипт генерирует произвольный поддомен для вшитого в код домена и отправляет запрос WMI: select * from win32_pingstatus where address='Write.ozaharso.ru’.spbIT.ru
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» рассказала, как обнаружить USB-червя: – Обнаружить вредоносный файл можно на первых шагах.spbIT.ru
Например, с помощью функции контроля целостности, будет обнаружено появление нового файла в контролируемой папке и изменение списка задач в планировщике.spbIT.ru