Symantec: Trojan.Milicenso - сбылась мечта торговцев бумагой

1174
Symantec Logo

Корпорация Symantec сообщает об угрозе Trojan.Milicenso. Вирус отправляет на серверы печати задания на распечатку случайных наборов символов вплоть до исчерпания запаса бумаги. При обнаружении антивирусными программами и помещении в карантин вирус не прекращает выполнения действий, так как использует уникальный механизм перенаправления программных запросов.

Код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке %System%. Затем исполняемый файл себя удаляет.

Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4 особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту - «черному ящику» (например, ThreatExpert).

Вирус также производит проверку наличия определенных драйверов системы, которые ассоциируются с режимом виртуальной машины.

Самым интересным является то, что большинство подпрограмм проверок/определения карантина используются в качестве защитных механизмов, позволяющих вирусу замаскироваться либо помешать анализу. Однако в данном случае, несмотря на наличие карантина, вирус не прекращает выполнения действий, а наоборот – производит определенные действия, например, запрос сайтов. Эти действия ассоциированы с Adware.Eorezo – так что, возможно, что вирус использует рекламное программное обеспечение в качестве ложного объекта, отвлекающего на себя внимание, пытаясь таким образом избежать анализа в том плане, что вирус при этом получит категорию угрозы невысокого уровня и будет пропущен.

При выполнении действий вирус запрашивает значения времени создания папок System и System Volume Information для создания уникального значения – та же самая операция, выполнявшаяся при установке трояна. Затем код использует уникальное значение для расшифровки главного ключа шифрования, который используется для расшифровки и выполнения основного содержания трояна.

Троян шифрует собранную информацию и отправляет её атакующему в закодированном виде - имени файла запроса HTTP GET. Запрошенный файл, возвращаемый сервером, является зашифрованным вирусным кодом.

Один из созданных файлов данного вируса представляет собой исполняемый файл, идентифицируемый как Aware.Eorezo. Файл имеет цифровую подпись, использующую сертификат, выданный компании «Agence Exclusive». Срок действия сертификата истек в январе 2012, поэтому верификация цифровой подписи завершается ошибкой. На данный момент специалистам Symantec не удалось подтвердить существование компании «Agence Exclusive», что указывает на то, что это несуществующая компания либо компания, прекратившая свою деятельность. Исполняемый файл создан с единственной целью: расшифровка адреса URL и запуск выполнения команды ShellExecute, запускающей браузер для открытия расшифрованного адреса URL (ads.alpha[УДАЛЕНО]).

С этого домена происходит перенаправление трафика на другой рекламный адрес URL, с которого происходит перенаправление на следующий рекламный адрес URL; в конце браузер открывает случайный сайт. В процессе исследования в конце цепочки перенаправлений наблюдались различные французские сайты.

На этапе заражения происходит создание файла с расширением .spl. Данный файл, хотя и выглядит как обычный файл задания на печать, на самом деле является исполняемым файлом, определяющимся как файл Adware.Eorezo. В зависимости от конфигурации любые файлы в этой папке, в том числе и бинарные, запускают задания на печать. Это и объясняет сообщения о неожиданных распечатках, происходивших в зараженных сетях. Основываясь на собранной информации, можно сказать, что испорченная бумага является, скорее всего, побочным эффектом заражения, нежели осмысленной целью авторов вируса.

Специалисты Symantec продолжают анализ новых случаев заражения данным вирусом и проводят обновление средств защиты. Недавно также стало известно, что SANS разместила дополнительную информацию о новом варианте Trojan.Milcenso. Этот вариант модифицирован мусорным заполнителем в исполняемом файле, что призвано затруднить его определение. Это показывает, что авторы угрозы продолжают работать не покладая рук над распространением своего вируса.

26 июня 2012

09:10

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Семейство 3D-карт Colorful iGame Vulcan X пополнили модели GTX 1080 Ti, GTX 1080, GTX 1070 и GTX 1060: Общей чертой этих 3D-карт является система охлаждения, в кожух которой встроен жидкокристаллический индикатор

Конструкция компьютерного корпуса Thermaltake View 71 Tempered Glass Edition включает четыре панели из закаленного стекла: Цену новинки производитель не называет1

Видеокарта Radeon Vega 64 Liquid Cooled Edition оснащена ЖСО Cooler Master, благодаря которой температура GPU составляет 53 градуса: Radeon Vega 64 Liquid Cooled Edition разобрали и запечатлели внутреннее строение8

Процессоры Ryzen Threadripper 1950X и Core i9-7960X установили несколько рекордов: CPU Core i9-7960X установил два мировых рекорда8

3D-карта Asus Radeon RX Vega 64 Strix в сравнении с референсом работает на больших частотах, но с большим потреблением энергии: Появились тесты Asus Radeon RX Vega 64 Strix9

Apple может стать первой компанией, чьи умные часы массово будут использоваться в медицинских целях: Apple ведёт переговоры с Aetna57

Наушники Apple EarPods и AirPods будут лучше держаться в ушной раковине с аксессуаром Dodocool: Цена набора в данный момент составляет 10 долларов17

Смартфон Doogee BL7000 получил три датчика изображения Samsung ISOCELL и аккумулятор емкостью 7060 мА•ч: На стадии предзаказа смартфон предлагается по цене 160 долларов11

Анонс камеры Nikon D850 ожидается 24 августа: Поставки Nikon D850 могут начаться уже в середине сентября9

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

1212

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать