Symantec: Trojan.Milicenso - сбылась мечта торговцев бумагой

ПредыдущаяСледующая
1174
Symantec Logo

Корпорация Symantec сообщает об угрозе Trojan.Milicenso. Вирус отправляет на серверы печати задания на распечатку случайных наборов символов вплоть до исчерпания запаса бумаги. При обнаружении антивирусными программами и помещении в карантин вирус не прекращает выполнения действий, так как использует уникальный механизм перенаправления программных запросов.

Код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке %System%. Затем исполняемый файл себя удаляет.

Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4 особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту - «черному ящику» (например, ThreatExpert).

Вирус также производит проверку наличия определенных драйверов системы, которые ассоциируются с режимом виртуальной машины.

Самым интересным является то, что большинство подпрограмм проверок/определения карантина используются в качестве защитных механизмов, позволяющих вирусу замаскироваться либо помешать анализу. Однако в данном случае, несмотря на наличие карантина, вирус не прекращает выполнения действий, а наоборот – производит определенные действия, например, запрос сайтов. Эти действия ассоциированы с Adware.Eorezo – так что, возможно, что вирус использует рекламное программное обеспечение в качестве ложного объекта, отвлекающего на себя внимание, пытаясь таким образом избежать анализа в том плане, что вирус при этом получит категорию угрозы невысокого уровня и будет пропущен.

При выполнении действий вирус запрашивает значения времени создания папок System и System Volume Information для создания уникального значения – та же самая операция, выполнявшаяся при установке трояна. Затем код использует уникальное значение для расшифровки главного ключа шифрования, который используется для расшифровки и выполнения основного содержания трояна.

Троян шифрует собранную информацию и отправляет её атакующему в закодированном виде - имени файла запроса HTTP GET. Запрошенный файл, возвращаемый сервером, является зашифрованным вирусным кодом.

Один из созданных файлов данного вируса представляет собой исполняемый файл, идентифицируемый как Aware.Eorezo. Файл имеет цифровую подпись, использующую сертификат, выданный компании «Agence Exclusive». Срок действия сертификата истек в январе 2012, поэтому верификация цифровой подписи завершается ошибкой. На данный момент специалистам Symantec не удалось подтвердить существование компании «Agence Exclusive», что указывает на то, что это несуществующая компания либо компания, прекратившая свою деятельность. Исполняемый файл создан с единственной целью: расшифровка адреса URL и запуск выполнения команды ShellExecute, запускающей браузер для открытия расшифрованного адреса URL (ads.alpha[УДАЛЕНО]).

С этого домена происходит перенаправление трафика на другой рекламный адрес URL, с которого происходит перенаправление на следующий рекламный адрес URL; в конце браузер открывает случайный сайт. В процессе исследования в конце цепочки перенаправлений наблюдались различные французские сайты.

На этапе заражения происходит создание файла с расширением .spl. Данный файл, хотя и выглядит как обычный файл задания на печать, на самом деле является исполняемым файлом, определяющимся как файл Adware.Eorezo. В зависимости от конфигурации любые файлы в этой папке, в том числе и бинарные, запускают задания на печать. Это и объясняет сообщения о неожиданных распечатках, происходивших в зараженных сетях. Основываясь на собранной информации, можно сказать, что испорченная бумага является, скорее всего, побочным эффектом заражения, нежели осмысленной целью авторов вируса.

Специалисты Symantec продолжают анализ новых случаев заражения данным вирусом и проводят обновление средств защиты. Недавно также стало известно, что SANS разместила дополнительную информацию о новом варианте Trojan.Milcenso. Этот вариант модифицирован мусорным заполнителем в исполняемом файле, что призвано затруднить его определение. Это показывает, что авторы угрозы продолжают работать не покладая рук над распространением своего вируса.

26 июня 2012 Г.

09:10

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

В Денвере хотят построить сеть наземных тоннелей, схожих по своей идее с теми, что строит The Boring Company: В Денвере построят наземный аналог тоннелей The Boring Company17

Компания Wal-Mart уже заказала 15 грузовиков Tesla Semi: Компания Wal-Mart серьёзно заинтересовалась электрическими грузовиками Tesla Semi37

Производство гибких панелей AMOLED опережает спрос: Популярность экранов 18:9 сказалось на спросе на гибкие панели AMOLED3

Простой патч для одной из современных игр позволил повысить производительность Radeon RX Vega 64 на 22%: Radeon RX Vega 64 после патча для Wolfenstein II: The New Colossus обгоняет GTX 1080 Ti16

Tesla выпустила свой портативный аккумулятор для смартфонов: Tesla Powerbank стоит 45 долларов19

E Ink отметила рост всех основных финансовых показателей: E Ink показала отличные финансовые результаты

Компания Broadcom завершила покупку компании Brocade Communications Systems: Новый владелец планирует разделить Brocade

Начало продаж Apple HomePod отложено: Умная АС Apple появится на рынке в 2018 году64

Анонсирован выпуск карты для работы с видео Blackmagic DeckLink 8K Pro: Карта Blackmagic DeckLink 8K Pro предназначена для захвата и вывода видео в разрешении до 8K DCI6

Samsung SM-W2018 может стать первым смартфоном с камерой, объектив которой имеет диафрагму F/1,5: Смартфон будет представлен в Китае 1 декабря этого года19

Представлена клавиатура Zagg Slim Book для iPad Pro с подсветкой клавиш и местом для Apple Pencil: Цена устройства составляет 120 долларов2

OnePlus 5T получит обновление Android 8.O Oreo в начале 2018 года: Разработчики решили изначально оснастить его Android 7.1.1 Nougat5

В понедельник Toshiba примет решение о привлечении зарубежных инвестиций в размере 5 млрд долларов: Эти средства должны помочь Toshiba удержаться на бирже1

По прогнозу DSCC, рынок материалов OLED в ближайшие годы будет расти на 20% в год: К 2022 году он достигнет 2,25 млрд долларов

Опубликован эскиз безрамочного смартфона 360 Mobiles: Компания будет придерживаться устоявшейся традиции, предлагая пользователям смартфоны с впечатляющими характеристиками по привлекательным ценам3

997
1318

iXBT TV

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

  • Обзор изогнутого 34-дюймового IPS-монитора LG 34UC99 с соотношением сторон 21:9 и белым корпусом

  • Обзор робота-пылесоса Philips SmartPro Active (FC8822/01) с широкой насадкой TriActive XL

1212

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать