ЛК: Троян Pinch использует Gif картинки для заражения и передачи данных в строящемся ботнете

Теги: Лаборатория Касперского, ботнет, вирус

Формат GIF-файла и отсутствие каких-либо специальных проверок на фотохостингах дают злоумышленникам прекрасные возможности: экономить на покупке или аренде обычно выделенных серверов и практически анонимно строить/обновлять свои ботнеты.

Pinch – одна из легендарных вредоносных программ Рунета. С середины 2003 года этот троянец доставляет регулярные проблемы антивирусным компаниям. Его исходные коды модифицировали и правили многие начинающие злоумышленники, а базы паролей, украденные с его помощью, постоянно появлялись на черном рынке. Не удивительно, что именно этот троянец «всплыл» в одном из прошедших инцидентов, связанных с фотохостингом компании Google.

32435.png
Логотип программы Picasa,
осуществляющей непосредственную работу
с фотохостингом компании Google

В процессе слежения за сайтами, используемыми злоумышленниками для взлома и распространения вредоносных программ, специалисты ЛК наткнулись на множество ресурсов, зараженных одинаковыми по коду скриптами. В начале заглавной страницы каждого такого сайта находится специальный зашифрованный скрипт. Анализируя браузер и набор дополнений к нему, скрипт формирует специальный запрос к серверу злоумышленника для выбора уязвимости, которая будет использоваться для проникновения на компьютер посетителя зараженного сайта.

32437.png новое окно
Пример кода заглавной страницы зараженного сайта

На момент исследования злоумышленники использовали уязвимости только в браузерах Internet Explorer 6, 7 и QuickTime. После их успешной эксплуатации загружался следующий код:

32438.png
Код, отрабатывающий после успешной реализации уязвимостей

Цель этого кода – обращение к фотохостингу компании Google и загрузка специально сформированной картинки:

 32440.png
Картинка, размещенная на фотохостинге Google

После успешной загрузки данной картинки код расшифровывает специально сформированный «довесок» к ней, который оказалтся троянцем Trojan-Dropper.Win32.Dropirin.ah. При этом в коде картинки по циклически повторяющейся последовательности байт, не характерных для данных формата GIF, хорошо видно расположение данного троянца.

32442.png
Содержимое кода картинки с данными, не характерными для формата GIF

После расшифровки и запуска троянца-дроппера, на компьютере жертвы устанавливается программа Backdoor.Win32.WinUOJ.pz, предназначенная, в том числе, для скрытой загрузки и установки других вредоносных программ. Работа бота с командным центром ведется с использование шифрования, при этом сами центры регулярно меняются и находятся в различных регионах мира – в США, Сингапуре, Москве и т.д.

32444.png
Пример команды для загрузки дополнительных вредоносных программ, полученной Backdoor.Win32.WinUOJ.pz от контрольной панели

Одной из особенностей данного бота является загрузка дополнительных вредоносных программ, упакованных аналогичными способами в те же GIF-картинки.

32447.pngт
Пример обновлений, рассылаемых контрольным центром для ботнета, с использованием GIF-картинок

Одной из вредоносных программ, установленной злоумышленниками на строящийся ботнет, стала программа Trojan-PSW.Win32.LdPinch, обладающая накопленными за свою почти семилетнюю историю развития и разработки обширными возможностями для кражи конфиденциальной информации с зараженного компьютера.

Итого:

Использование GIF-файлов для заражения пользователей и передачи данных в строящемся ботнете является одной из самых находчивых вредоносных техник за последнее время. При наблюдении за сетевым трафиком компьютера процесс заражения и работы вредоносной программ невозможно определить стандартными средствами, так как со стороны это выглядит как загрузка обычных картинок при посещении обычного сайта. Формат GIF-файла и отсутствие каких-либо специальных проверок на фотохостингах дают злоумышленникам прекрасные возможности: экономить на покупке или аренде обычно выделенных серверов и практически анонимно строить/обновлять свои ботнеты. В этих условиях проблему можно решить, например, использованием техники перекодирования пользовательских картинок, аналогично тому, как это происходит с видеороликами на том же youtube.com.


или введите имя

CAPTCHA
Страницы: 1  2  
123
27-02-2010 23:31:07
У лохов и ломают сервера Р.С. у самого есть сервак и разбор короткий 5-30 сек посли пнрвой попытки взлома
0 |
dan
27-02-2010 23:44:17
да Гугл лохи, а ты крутой чувак =) 30838
0 |
28-02-2010 01:11:14
да Гугл лохи, а ты крутой чувак =)
0 |
linux-user
28-02-2010 03:00:49
Продолжайте дальше есть свой кактус. Обожаю виндузятников которые думают что установив очередной антивирус они 100% защищены.
0 |
Dimon
28-02-2010 08:05:18
ДеБилл. Ничего, что сервера на Гугле в основном Unix-овые? Ничего, что зараженный GIF прекрасно будет жить и на Линуксовых серверах?
0 |
Тро ло ло ло
28-02-2010 09:14:40
Странно но почемуто этот вирус ничего неможет сделать с линуксовым юниксовым сервером - что я делаю не так ???
0 |
Мэкс
28-02-2010 12:17:20
Усердно изучающе матчасть и прочитавшие хотя бы одну букфу из трех в вышеприведенной статье знают, что для данной атаки сервер взламывать не надо. Достаточно просто легально разместить GIF. гугл то быстро исправится, а вот куча форумов и прочих ресурсов, на которых можно свободно размещать свои картинки, долго будут рассадником заразы.
0 |
01-03-2010 06:59:45
Дело не в самих GIF картинках, а в том что пользователю через Ишак посылают к картинке довесок без которого ничего работать не будет.) Если пользоваться более защищенными браузерами, то ничего не случится.
0 |
Int
01-03-2010 09:35:01
Ну разместишь ты. Кто-то даже загрузит эту твою картинку с заражённой страницы эксплорером из-под вайна, а дальше что?
0 |
01-03-2010 12:50:29
что я делаю не так ??? не читаешь статью, к которой пишешь комментарии при чём здесь платформа сервера? этот вирус с сервером ничего и не делает
0 |
01-03-2010 12:52:37
с линуксовым юниксовым серверомдетка, ты хоть сам со своими серверами разберись - linux они у тебя используют или unix? для ответа на этот вопрос рекомендую покурить акроним GNU
0 |
123
28-02-2010 23:48:32
у меня линух и работаю и развлекаюсь исключительно на nix системах в отличии от большей части умников в этом блоге
0 |
MartS
28-02-2010 10:57:19
картинки используют не для взлома сервера... а как инструмент управления зараженной машиной... причем тут взлом серверов гугла %) о нем вобще речи не шло....
0 |
02952
28-02-2010 13:34:17
У кого винда, кто нибудь уже набрал код со скриншотов? работает?
0 |
noname
28-02-2010 16:28:44
уязвимости только в браузерах Internet Explorer 6, 7 и QuickTime.Internet Explorer 6, 7 и QuickTime.Феерично.
0 |
Хряк
01-03-2010 09:27:15
Пользуюсь для сёрфинга QuickTime - ом Не удобно... какой-то недоделанный броузер
0 |
Int
01-03-2010 09:35:55
Там просто нужно в настройках покопаться, лучше гуглхрома.
0 |
anonymous
28-02-2010 20:58:18
дайте зараженную картинку - хочется исследовать
0 |
Страницы: 1  2