Во вредоносных программах иногда применяются необычные методы уклонения от обнаружения антивирусами. Так, создатель программ XXMM, ShadowWali и Wali прячет вредоносный код в файлах размером в 50-200 мегабайт. На деле размер вредоносной программы составляет лишь несколько килобайт.
Как утверждают некоторые эксперты, разработчик XXMM, ShadowWali и Wali ошибочно считает, что внедрение вредоносной программы в файлы большого объема позволит избежать проверки антивирусами, которые не будут осуществлять сканирование, считая данные объекты легитимными приложениями. Также существует предположение, что хакер хочет избежать обнаружения вредоносных программ сканерами ИБ-компаний, часто отслеживающими лишь файлы небольшого объема.
Впервые бэкдор XXMM был применен в рамках атак против южнокорейских и японских организаций в 2015 году. Программа Wali была описана экспертами «Лаборатории Касперского» в середине прошлого месяца, а через две недели эксперты Cybereason зафиксировали новое вредоносное программное обеспечение ShadowWali.
По мнению исследователей, ShadowWali – это ранняя версия Wali. Обе вредоносные программы имеют схожий функционал, но ShadowWali работает лишь на 32-разрядной архитектуре, а Wali функционирует также и на 64-битных системах.
После инсталляции на систему вредоносные программы проникают в процессы explorer.exe (Windows Explorer) и lsass.exe (Local Security Authority Subsystem Service). Затем они осуществляют загрузку утилит для кражи учетной информации с компьютера и сканирования локальной сети. Похищенная информация применяется для поиска других важных данных. Пока что неизвестно, какую именно цель преследует злоумышленник.