Nicolas Brulez
Ostatniej nocy otrzymaliśmy próbkę szkodliwego oprogramowania Madi, o którym szerzej pisaliśmy już w naszym Dzienniku Analityków.
Po odłączeniu serwerów centrum kontroli Madi w zeszłym tygodniu, założyliśmy, że cała operacja umarła. Wszystko wskazuje na to, że byliśmy w błędzie.
Nowa wersja szkodnika została skompilowana 25 lipca 2012 r., co można odczytać z nagłówka:
Nowa odsłona Madi zawiera wiele usprawnień i ciekawych nowych funkcji. Posiada zdolność monitorowania VKontakte (popularny w Rosji portal społecznościowy) oraz konwersacji prowadzonych z użyciem Jabbera. Namierza użytkowników, którzy w polach adresu / wyszukiwania wprowadzają frazy "USA" oraz "gov". W takich przypadkach złośliwe oprogramowanie zbiera zrzuty ekranu i wysyła je na serwer C&C.
Poniżej znajduje się lista wszystkich monitorowanych słów kluczowych:
"gmail", "hotmail", "yahoo! mail", "google+", "msn messenger", "blogger",...
Analizy
Blog
W tłumaczeniu: Wow, to naprawdę działa! Sprawdź, kto ogląda twój profil!
Odsyłacze wykorzystywane w tej kampanii zmieniają się dość szybko i prowadzą niczego niepodejrzewających użytkowników na stronę zawierającą instrukcje. Strona wygląda tak:
Zasadniczo trzeba wykonać 2 kroki:
Aby mieć pewność, że ofiary wykonają te instrukcje, udostępniono filmik (GIF) szczegółowo opisujący każdy krok; cyberprzestępcy wyraźnie wybierają sobie na cele swoich ataków użytkowników z...
W piątek Kaspersky Lab wykrył kolejny nowy wariant mający postać zaciemnionego pliku wykonywalnego. Zagrożenie zostało zidentyfikowane automatycznie przy użyciu Kaspersky Security Network jako UDS:DangerousObject.Multi.Generic.
Do naszych baz danych dodaliśmy już sygnaturę niegeneryczną tego zagrożenia, które jest teraz wykrywane jako Trojan-Ransom.Win32.Gpcode.bn.
Do infekcji szkodnikiem dochodzi podczas odwiedzenia zainfekowanej strony internetowej (atak drive by download).
Po uruchomieniu swojego kodu GPCode generuje 256-bitowy klucz AES (przy użyciu Windows Crypto API) i szyfruje go przy użyciu publicznego 1024-bitowego klucza RSA. Następnie zaszyfrowany klucz zostaje umieszczony na pulpicie zainfekowanego komputera, wewnątrz pliku tekstowego zawierającego treść szantażu:
W przeciwieństwie do próbki z listopada zeszłego...
Analizy
Blog
Z naszej analizy wynika, że znajdujące się w wiadomościach spamowych szkodliwe odsyłacze prowadzą do stron internetowych zawierających Incognito Exploit Kit.
Poniżej interesujące zdjęcie z serwerów, na których został zamieszczony ten zestaw exploitów:
A to kolejny przykład wiadomości wysłanej w ramach omawianej kampanii spamowej, tym razem podszywającej się pod wiadomość e-mail z Twittera:
E-mail ten “udaje” wiadomość z działu pomocy Twittera i informuje użytkownika, że ma 6 nieprzeczytanych wiadomości na tym portalu.
Wiadomość zachęca również do obejrzenia filmiku: Inside the Fukushima’s exclusion zone (Wewnątrz strefy wyłączonej w...
Analizy
Blog
Jeżeli użytkownik kliknie odsyłacz, zainfekowana strona - wykorzystując exploity JAVA - zainstaluje na jego maszynie szkodliwe aplikacje:
Kaspersky Lab wykrywa te exploity jako: Downloader.Java.OpenConnection.dn oraz Downloader.Java.OpenConnection.do, a zatem nasi klienci są chronieni przed tymi zagrożeniami.
Exploit JAVA znajduje się w domenie znanej z fałszywych produktów antywirusowych. Do zainstalowania innych szkodliwych aplikacji jest wykorzystywany plik VBS (wykrywany już jako Trojan-Downloader.VBS.Small.iz):
Zainfekowany komputer zaczyna wyświetlać zlokalizowane reklamy (w moim przypadku w języku francuskim):
W wyniku tylko jednej udanej infekcji na komputerze było uruchomionych aż pięć szkodliwych plików wykonywalnych, jedna biblioteka...
Głównym celem opisywanego szkodliwego programu była kradzież kluczy rejestracyjnych do popularnego oprogramowania.
Kilka dni temu znaleźliśmy nową szkodliwą aplikację, która podszywa się pod Kaspersky Trial Resetter (aplikację, przy pomocy której można zresetować okres licencji testowej na oprogramowanie, która wygasła).
Nowy szkodnik jest wykrywany jako Trojan-PSW.MSIL.Agent.wx i jak na razie tylko dwóch producentów, w tym Kaspersky Lab, potrafi go wykryć.
Haczyk polega na tym, że zamiast zresetować okres testowy, aplikacja kradnie informacje przechowywane na komputerze, takie jak hasła zachowane w przeglądarkach lub przez aplikację. According to the PE header, the malicious software was created on 31 January 2011, although the first infection reports appeared on 6...
Szkodliwe odsyłacze przechodzą przez wiele przekierowań, które zostały opisane poniżej. Łańcuch przekierowań może zaprowadzić użytkowników Twittera na stronę fałszywego oprogramowania antywirusowego “Security Shield”. Strona internetowa wykorzystuje dokładnie te same techniki zaciemniania co poprzednia wersja (Security Tool) – implementację szyfrowania RSA w JavaScript w celu zaciemnienia kodu strony.
Nasze programy chronią użytkowników przed tym robakiem, a wszystkie wykorzystywane przez niego adresy są umieszczone na czarnej liście.
Poniżej przedstawiamy szczegóły techniczne:
Strona html przekierowuje...