Avast: Группа хакеров распространяет руткит в России и Украине

image

Теги: вирус, эксплоит, руткит

Злоумышленники используют вирус для продажи зараженных систем.

Специалисты компании-производителя антивирусного программного обеспечения !avast отследили деятельность вируса, разработанного на основе эксплоита Unitrix, функции которого заключаются в маскировке исполняемых файлов под видом обычного текста или видео. Аналитика эксплоита показала, что хакеры используют его не для прямого управления компьютером, а для продажи зараженных систем.

Злоумышленники загружают на систему специальный загрузчик, который затем скачивает вредоносный исполняемый файл. Вирусописатели имеют возможность изменять содержимое загружаемого файла. Исследование сотрудников !avast показало, что среди хакеров существует целая сеть, состоящая из нескольких подразделений, по всей видимости, работающих в России и Украине.

Эти подразделения распространяют вирус, который в !avast назвали W32:Fivfrom. Основной задачей вируса является подключение к одному из удаленных серверов и установка вредоносного ПО на зараженный компьютер. Было проанализировано 50 различных файлов, каждый из которых изначально выглядел различным образом. Но при более детальном просмотре в каждом из них были выявлены одинаковые шаблоны.

Во все файлы было помещено упаковщик исполняемых файлов (UPX), а также полиморфный загрузчик, генерирующий конечный исполняемый файл. Таким образом, вирус имеет два уровня защиты. С помощью отладчика исследователям удалось получить отрезок кода, выполняющий загрузку файла. Аудит полученного кода показал, что файл совершает запрос к одному из серверов злоумышленников:
<сервер>/<путь>/ots.php?подразделение=<подразделение_id>&хэш={<хэш для каждого компьютера уникален>}

Форма запроса позволила исследователям определить, что злоумышленники разбиты на несколько группировок (подразделений). Каждое подразделение имеет свой уникальный ID. Каждый раз при отправке запроса, сервер получает захэшированный ID подразделения, которому удалось заразить новую систему.

После отправки запроса, от сервера поступает ответ:
||485d4b022a359b9ebc841956bbdc0bc0||http://filmzone.org.ua/k.gif ||0||0||GBNTBBkA.exe||

В этом ответе указан URL и название исполняемого файла. Загрузчик скачивает файл (http://filmzone.org.ua/k.gif), переименовывает его в GBNTBBkA.exe и выполняет.

При выполнении файла GBNTBBkA.exe, в папку c:\windows\system32\drivers\ помещается файл yplv.sys, который работает как служба Windows. После успешного запуска службы файл скрывается, и увидеть его больше невозможно.

Это лишь один из файлов, которые могут скачиваться загрузчиком, реализованным на Unitrix. Ни дальнейшего применения, ни альтернатив скачиваемых с помощью загрузчика файлов пока не известно.

Ознакомиться с публикацией сотрудников !avast можно здесь.


или введите имя

CAPTCHA
Дворник Дима
09-09-2011 09:16:31
Прокуратура уже занимается этим делом? Где заявление полиции? Будем продолжать ждать, когда антивирусы станут бесполезными тормозами системы?
0 |
Эдик-Лимоновец
12-09-2011 11:30:11
Все пучком! Прокуратура в доле с пацанами! И верховному главнокомандующему откат пойдет. Новая Российская Полиция крышует. Что-то не так?
0 |
KM
09-09-2011 12:51:49
секлаб, вы бы хоть ссылку на вредонос прибили бы. Или, хотя бы, запикали что ли...
0 |
Слесарь Вася
09-09-2011 19:10:41
Я этот GIF отправил в Microsoft на анализы. Пускай поковыряются и добавят в детект к своему антивирусу.
0 |
Trojan
09-09-2011 23:57:27
Вася а они поймут чё ты им послал ? ))))
0 |
енот
10-09-2011 02:53:28
Будем посмотреть, а пока так по ссылке из новости, k.gif: http://www.virustotal.com/file-scan/report.html?id=62258ab3a7e3d452344bfa64362dddf2adf236e70d89be5bec0ccd9b9fd3364c-1315608403
0 |
11-09-2011 13:09:20
Зачем же именно в Microsoft? Ихний антивирус и называть антивирусом неправильно.
0 |
Каррамба
12-09-2011 15:55:23
а для продажи зараженных системЭто как?
0 |