Symantec: Trojan.Milicenso - сбылась мечта торговцев бумагой

Угроза обладает уникальным механизмом, благодаря которому антивирусные средства могут ее не распознать

ПредыдущаяСледующая
Symantec Logo

Корпорация Symantec сообщает об угрозе Trojan.Milicenso. Вирус отправляет на серверы печати задания на распечатку случайных наборов символов вплоть до исчерпания запаса бумаги. При обнаружении антивирусными программами и помещении в карантин вирус не прекращает выполнения действий, так как использует уникальный механизм перенаправления программных запросов.

Код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке %System%. Затем исполняемый файл себя удаляет.

Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4 особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту - «черному ящику» (например, ThreatExpert).

Вирус также производит проверку наличия определенных драйверов системы, которые ассоциируются с режимом виртуальной машины.

Самым интересным является то, что большинство подпрограмм проверок/определения карантина используются в качестве защитных механизмов, позволяющих вирусу замаскироваться либо помешать анализу. Однако в данном случае, несмотря на наличие карантина, вирус не прекращает выполнения действий, а наоборот – производит определенные действия, например, запрос сайтов. Эти действия ассоциированы с Adware.Eorezo – так что, возможно, что вирус использует рекламное программное обеспечение в качестве ложного объекта, отвлекающего на себя внимание, пытаясь таким образом избежать анализа в том плане, что вирус при этом получит категорию угрозы невысокого уровня и будет пропущен.

При выполнении действий вирус запрашивает значения времени создания папок System и System Volume Information для создания уникального значения – та же самая операция, выполнявшаяся при установке трояна. Затем код использует уникальное значение для расшифровки главного ключа шифрования, который используется для расшифровки и выполнения основного содержания трояна.

Троян шифрует собранную информацию и отправляет её атакующему в закодированном виде - имени файла запроса HTTP GET. Запрошенный файл, возвращаемый сервером, является зашифрованным вирусным кодом.

Один из созданных файлов данного вируса представляет собой исполняемый файл, идентифицируемый как Aware.Eorezo. Файл имеет цифровую подпись, использующую сертификат, выданный компании «Agence Exclusive». Срок действия сертификата истек в январе 2012, поэтому верификация цифровой подписи завершается ошибкой. На данный момент специалистам Symantec не удалось подтвердить существование компании «Agence Exclusive», что указывает на то, что это несуществующая компания либо компания, прекратившая свою деятельность. Исполняемый файл создан с единственной целью: расшифровка адреса URL и запуск выполнения команды ShellExecute, запускающей браузер для открытия расшифрованного адреса URL (ads.alpha[УДАЛЕНО]).

С этого домена происходит перенаправление трафика на другой рекламный адрес URL, с которого происходит перенаправление на следующий рекламный адрес URL; в конце браузер открывает случайный сайт. В процессе исследования в конце цепочки перенаправлений наблюдались различные французские сайты.

На этапе заражения происходит создание файла с расширением .spl. Данный файл, хотя и выглядит как обычный файл задания на печать, на самом деле является исполняемым файлом, определяющимся как файл Adware.Eorezo. В зависимости от конфигурации любые файлы в этой папке, в том числе и бинарные, запускают задания на печать. Это и объясняет сообщения о неожиданных распечатках, происходивших в зараженных сетях. Основываясь на собранной информации, можно сказать, что испорченная бумага является, скорее всего, побочным эффектом заражения, нежели осмысленной целью авторов вируса.

Специалисты Symantec продолжают анализ новых случаев заражения данным вирусом и проводят обновление средств защиты. Недавно также стало известно, что SANS разместила дополнительную информацию о новом варианте Trojan.Milcenso. Этот вариант модифицирован мусорным заполнителем в исполняемом файле, что призвано затруднить его определение. Это показывает, что авторы угрозы продолжают работать не покладая рук над распространением своего вируса.

26 июня 2012 Г.

09:10

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

GoPro запускает программу обмена камер: В программе участвуют камеры GoPro HERO6 Black и Fusion5

PowerColor показала видеокарту Radeon RX Vega Nano: Но её судьба остаётся тайной7

Выпуск новых модулей памяти G.Skill приурочен к началу продаж процессоров AMD Ryzen второго поколения:

ZTE Nubia Red Magic — игровой смартфон без Snapdragon 845 и 120-герцового экрана: Но зато с заманчивой ценой1

Начались продажи настольных процессоров AMD Ryzen второго поколения: Это процессоры Ryzen 7 2700X, Ryzen 7 2700, Ryzen 5 2600X и Ryzen 5 260013

Смартфоны Motorola Moto E5 и Moto E5 Plus порадуют ёмкими аккумуляторами : А старшая модель удивит и материалами корпуса

GlobalWafers приписывают намерение расширить производство: На это выделено 450 млн долларов

Смартфоны Motorola линейки Moto G6 могут похвастаться некоторыми особенностями, не присущими аппаратам этой ценовой категории: Это стеклянный корпус, быстрая зарядка и защита от влаги3

Дефект камеры Sony a7 III, проявляющийся при видеосъемке, устранен в новой прошивке: Версия прошивки — 1.013

В линейке корпусов Phanteks Eclipse P300 стало на три варианта больше: Корпус Phanteks Eclipse P300 украшен подсветкой RGB

Начались продажи ноутбуков Lenovo Air 2018 и Lenovo 7000: Пока модели предлагаются только на домашнем рынке – в Китае3

В Windows 10 1803 RTM обнаружена серьезная ошибка: Выход окончательной версии может дополнительно задержаться14

Amazon предлагает выходить в Интернет при помощи своего браузера Internet : Он нацелен на бюджетные смартфоны с Android12

Rambus предлагает встраивать в процессоры свой блок CryptoManager Root of Trust, который защитит устройства от уязвимостей : Блок содержит ядро RISC-V8

Модули памяти Adata XPG Spectrix D41 DDR4 RGB «напоминают броню»: Они украшены программируемой подсветкой4

Представлен смартфон Honor 10: В базовой версии он оценивается в 415 долларов26

Honor – это не только смартфоны: представлен MagicBook – первый ноутбук под торговой маркой Honor: MagicBook базируется на процессорах Intel, а внешне похож на ноутбуки Apple18

Видеокарты ASRock Phantom Gaming M1 Radeon RX570 оснащаются лишь одним портом DVI: Кроме того, карты не порадуют системой охлаждения7

В минувшем квартале выручка TSMC составила 8,46 млрд долларов: За год она увеличилась на 12,7%

eX Core — самая компактная внешняя видеокарта для ноутбуков: Она основана на мобильной версии 3D-карты GeForce GTX 105022

Qualcomm повторно запросит у китайских регуляторов разрешение на поглощение NXP: Сделка оценивается в 44 миллиарда долларов5

Формат сжатия JPEG XS оптимизирован для потокового вещания: Новый формат сжимает данные меньше, чем его предшественник6

Samsung выигрывает у Apple по числу активаций смартфонов : В то же время, Apple может похвастать лояльностью пользователей21

Опубликовано изображение игрового смартфона Nubia Red Magic: Новинка выделяется оформлением тыльной панели4

Защитник Windows Defender теперь доступен для браузера Chrome в виде расширения: Microsoft утверждает, что её решение эффективнее встроенных в Chrome инструментов10

Bang & Olufsen Beoplay P6 — алюминиевая портативная акустическая система с хорошей автономностью: Но она стоит 400 евро

Создан фермент, пожирающий пластик: Он разрушает пластик в течение нескольких дней47

Космический корабль Orion получит множество деталей, напечатанных на 3D-принтере: Они будут выполнены из термопластика21

Lenovo представила новый суббренд Lecoo для устройств умного дома: Под брендом сразу представили четыре устройства9

Радиатор низкопрофильной системы охлаждения Cryorig C7 Cu изготовлен из меди: Конструкция включает четыре тепловые трубки диаметром 6 мм и 57 пластин толщиной 0,4 мм7

Изогнутый монитор AOC Agon AG322QC4 поддерживает FreeSync 2 и отвечает спецификациям DisplayHDR 400: AOC Agon AG322QC4 получил изогнутую матрицу VA с радиусом кривизны 1,8 м

Western Digital представила накопитель Ultrastar DC HC530 объёмом 14 ТБ: Он использует тип записи CMR5

Facebook ищет руководителя: Об этом свидетельствует объявление о приеме на работу2

Новый iPhone с ЖК-экраном может стоить от $550 : Версия с двумя SIM-картами будет предлагаться по цене от $65064

Intel прекращает разработку умных очков: И сокращает штат на 200 человек16

Qualcomm начинает увольнения, рассчитывая сократить расходы на 1 млрд долларов в год: Первоначально в компании планировали уменьшить расходы, не прибегая к увольнениям2

Samsung пока не планирует выпуск телевизоров OLED, разрабатывая гибридные технологии: Их можно обозначить как QD-microLED и QD-OLED12

Facebook придется ответить в суде за распознавание лиц без разрешения : Судья одобрил коллективный иск10

Смартфон Cubot Power получил аккумулятор емкостью 6000 мА•ч: Продажи начнутся в мае этого года3

Xiaomi выпустила салфетки для очистки мобильных устройств: Комлект из 15 салфеток стоит менее одного доллара11

Первая коммерческая линия Hyperloop заработает уже через два года: Она расположится в ОАЭ52

YMTC получила первые заказы на флэш-память 3D NAND: Выпуск продукции планируется начать в конце текущего года1

AnTuTu опубликовал десятку самых производительных смартфонов на Android по итогам марта 2018: За последний месяц ситуация заметно поменялась, что объясняется выходом Samsung Galaxy S9+ и S913

Электромобили Tesla Model 3 теперь будут производиться круглосуточно: Tesla будет набирать по 400 сотрудников в неделю20

Аналитик прогнозирует ежегодный рост пользовательской базы Apple Music на 40% в течение трех лет: Пока что Apple Music является одним из наименее прибыльных сервисов Apple6

Смартфон Samsung Galaxy A6+ впервые засветился на видео: При этом он может появиться и под именем Galaxy J8+1

Вместе со смартфонами Meizu 15 будет представлена оболочка Flyme 7: Набор бета-тестеров Flyme 7 уже начался

Honor 10 может оказаться первым смартфонов бренда с подэкранным дактилоскопическим датчиком: Как минимум, одна из версий Honor 10 получит новый сканер отпечатков пальцев

Производитель чехлов опубликовал новые изображения смартфона Moto Z3 Play: Выход новинки ожидается в июне этого года1

iXBT TV

  • Обзор «умного» мультипекаря Redmond SkyBaker RMB-M657/1S

  • Обзор вертикального аккумуляторного циклонного пылесоса Kitfort KT-527

  • Клавиатура TT eSports Premium X1 RGB – богатые возможности

  • Обзор источника бесперебойного питания APC Smart-UPS On-line SRC1KI

  • Apple работает над модульным ПК и процессором, слайдер-смартфон, Tesla должна ответить

  • Обзор инсталляционного проектора Panasonic PT-MZ670E с лазерно-люминофорным источником света

  • Обзор перфоратора Bosch GBH 2-26 DFR Professional

  • Обзор среднебюджетного блока питания Cougar GX-S 750

  • Представлены Apple iPad 2018, Huawei P20 и P20 Pro, Xiaomi Mi Mix 2s!

  • Обзор микрокомпьютера Intel Compute Card размером с кредитку

  • Обзор экшн-камеры Insta360 Pro: съемка сферических 8K-панорам

  • Nvidia преобразит игры, самоуправляемый автомобиль убил человека

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс