Avast: Группа хакеров распространяет руткит в России и Украине

Специалисты компании-производителя антивирусного программного обеспечения !avast отследили деятельность вируса, разработанного на основе эксплоита Unitrix, функции которого заключаются в маскировке исполняемых файлов под видом обычного текста или видео. Аналитика эксплоита показала, что хакеры используют его не для прямого управления компьютером, а для продажи зараженных систем.

Злоумышленники загружают на систему специальный загрузчик, который затем скачивает вредоносный исполняемый файл. Вирусописатели имеют возможность изменять содержимое загружаемого файла. Исследование сотрудников !avast показало, что среди хакеров существует целая сеть, состоящая из нескольких подразделений, по всей видимости, работающих в России и Украине.

Эти подразделения распространяют вирус, который в !avast назвали W32:Fivfrom. Основной задачей вируса является подключение к одному из удаленных серверов и установка вредоносного ПО на зараженный компьютер. Было проанализировано 50 различных файлов, каждый из которых изначально выглядел различным образом. Но при более детальном просмотре в каждом из них были выявлены одинаковые шаблоны.

Во все файлы было помещено упаковщик исполняемых файлов (UPX), а также полиморфный загрузчик, генерирующий конечный исполняемый файл. Таким образом, вирус имеет два уровня защиты. С помощью отладчика исследователям удалось получить отрезок кода, выполняющий загрузку файла. Аудит полученного кода показал, что файл совершает запрос к одному из серверов злоумышленников:
<сервер>/<путь>/ots.php?подразделение=<подразделение_id>&хэш={<хэш для каждого компьютера уникален>}

Форма запроса позволила исследователям определить, что злоумышленники разбиты на несколько группировок (подразделений). Каждое подразделение имеет свой уникальный ID. Каждый раз при отправке запроса, сервер получает захэшированный ID подразделения, которому удалось заразить новую систему.

После отправки запроса, от сервера поступает ответ:
||485d4b022a359b9ebc841956bbdc0bc0||http://filmzone.org.ua/k.gif ||0||0||GBNTBBkA.exe||

В этом ответе указан URL и название исполняемого файла. Загрузчик скачивает файл ( http://filmzone.org.ua/k.gif ), переименовывает его в GBNTBBkA.exe и выполняет.

При выполнении файла GBNTBBkA.exe, в папку c:\windows\system32\drivers\ помещается файл yplv.sys, который работает как служба Windows. После успешного запуска службы файл скрывается, и увидеть его больше невозможно.

Это лишь один из файлов, которые могут скачиваться загрузчиком, реализованным на Unitrix. Ни дальнейшего применения, ни альтернатив скачиваемых с помощью загрузчика файлов пока не известно.

Ознакомиться с публикацией сотрудников !avast можно здесь.