00:22 27.02.2010 Опасный GIF | |
Pinch – одна из легендарных вредоносных программ Рунета. С середины
2003 года этот троянец доставляет регулярные проблемы антивирусным
компаниям. Его исходные коды модифицировали и правили многие начинающие
злоумышленники, а базы паролей, украденные с его помощью, постоянно
появлялись на черном рынке. Не удивительно, что именно этот троянец
«всплыл» в одном из прошедших инцидентов, связанных с фотохостингом
компании Google. В процессе слежения за
сайтами, используемыми злоумышленниками для взлома и распространения
вредоносных программ, мы наткнулись на множество ресурсов, зараженных
одинаковыми по коду скриптами.
В начале заглавной страницы каждого такого сайта находится специальный зашифрованный скрипт. Анализируя браузер и набор дополнений к нему, скрипт формирует специальный запрос к серверу злоумышленника для выбора уязвимости, которая будет использоваться для проникновения на компьютер посетителя зараженного сайта. Пример кода заглавной страницы зараженного сайта На момент исследования злоумышленники использовали уязвимости только в браузерах Internet Explorer 6, 7 и QuickTime. После их успешной эксплуатации загружался следующий код: Код, отрабатывающий после успешной реализации уязвимостей Цель этого кода – обращение к фотохостингу компании Google и загрузка специально сформированной картинки: Картинка, размещенная на фотохостинге Google После успешной загрузки данной картинки код расшифровывает специально сформированный «довесок» к ней, который оказалтся троянцем Trojan-Dropper.Win32.Dropirin.ah. При этом в коде картинки по циклически повторяющейся последовательности байт, не характерных для данных формата GIF, хорошо видно расположение данного троянца. Содержимое кода картинки с данными, не характерными для формата GIF После расшифровки и запуска троянца-дроппера, на компьютере жертвы устанавливается программа Backdoor.Win32. WinUOJ.pz, предназначенная, в том числе, для скрытой загрузки и установки других вредоносных программ. Работа бота с командным центром ведется с использование шифрования, при этом сами центры регулярно меняются и находятся в различных регионах мира – в США, Сингапуре, Москве и т.д. Пример команды для загрузки дополнительных вредоносных программ, полученной Backdoor.Win32.WinUOJ.pz от контрольной панели Одной из особенностей данного бота является загрузка дополнительных вредоносных программ, упакованных аналогичными способами в те же GIF-картинки. Пример обновлений, рассылаемых контрольным центром для ботнета, с использованием GIF-картинок Одной из вредоносных программ, установленной злоумышленниками на строящийся ботнет, стала программа Trojan-PSW.Win32.LdPinch, обладающая накопленными за свою почти семилетнюю историю развития и разработки обширными возможностями для кражи конфиденциальной информации с зараженного компьютера. Итого:Использование GIF-файлов для заражения пользователей и передачи данных в строящемся ботнете является одной из самых находчивых вредоносных техник за последнее время. При наблюдении за сетевым трафиком компьютера процесс заражения и работы вредоносной программ невозможно определить стандартными средствами, так как со стороны это выглядит как загрузка обычных картинок при посещении обычного сайта. Формат GIF-файла и отсутствие каких-либо специальных проверок на фотохостингах дают злоумышленникам прекрасные возможности: экономить на покупке или аренде обычно выделенных серверов и практически анонимно строить/обновлять свои ботнеты. В этих условиях проблему можно решить, например, использованием техники перекодирования пользовательских картинок, аналогично тому, как это происходит с видеороликами на том же youtube.com. Сергей Голованов | |
|
Всего комментариев: 0 | |