Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Mediyes - dropper z ważną sygnaturą

Wiaczesław Zakorzewski
Kaspersky Lab Expert
Dodany 16 marca 2012, 10:00 CET
Tagi:

W ostatnich dniach został wykryty szkodliwy program z ważną sygnaturą. Szkodnik ten jest 32- lub 64-bitowym dropperem, wykrywanym przez Kaspersky Lab odpowiednio jako Trojan-Dropper.Win32.Mediyes lub Trojan-Dropper.Win64.Mediyes.

Zidentyfikowano liczne pliki droppera z podpisami o różnych datach od grudnia 2011 do 7 marca 2012 r. We wszystkich tych przypadkach został użyty certyfikat wydany dla szwajcarskiej firmy Conpavi AG. Firma ta współpracuje ze szwajcarskimi organami rządowymi, takimi jak samorządy miejskie czy kantony.


Informacje o sygnaturze cyfrowej programu Trojan-Dropper.Win32.Mediyes

Nie znamy jeszcze dokładnego źródła szkodnika Trojan-Dropper.Win32/Win64.Mediyes, mamy jednak przesłanki, aby przypuszczać, że jest on instalowany na komputerach przy pomocy exploitów.

32-bitowy dropper przechowuje swój własny 32-bitowy sterownik – którego nazwa zaczyna się od ‘HID’ – w folderze sterowników systemowych. Następnie dropper usuwa się z systemu. Sam sterownik nie jest podpisany, to jednak nie przeszkadza mu działać poprawnie w 32-bitowym systemie Windows. Sterownik zawiera bibliotekę DLL, która jest kopiowana do foldera systemowego rozpoczynającego się od liter ‘PNG’. Główną funkcją sterownika jest wstrzykiwanie biblioteki DLL do procesu przeglądarki internetowej. Sterownik ukrywa również na dysku komponenty Mediyes.

64-bitowy dropper nie zawiera sterownika i wstrzykuje bibliotekę DLL bezpośrednio do przeglądarki.

Szkodliwa biblioteka DLL jest wykrywana przez Kaspersky Lab jako Trojan.Win32.Mediyes, a sterownik jako Rootkit.Win32.Mediyes.

Po uruchomieniu biblioteka DLL sprawdza, w jakiej przeglądarce działa, a następnie zaczyna przechwytywać żądania przeglądarki wysyłane do wyszukiwarek Google, Yahoo! oraz Bing. Duplikuje wszystkie żądania na zlokalizowanym w Niemczech serwerze szkodliwych użytkowników. Zapytania są wykorzystywane przez cyberprzestępców do zarabiania pieniędzy w ramach programu partnerskiego „Search 123” działającego na zasadzie PPC (pay-per-click). Serwer odpowiada na żądania użytkowników z odsyłaczami z systemu Search123, które są klikane bez wiedzy użytkownika. W ten sposób szkodliwi użytkownicy zarabiają na fałszywych kliknięciach.


Opis programu partnerskiego Search123

Według danych KSN, Trojan.Win32.Mediyes został wykryty na komputerach około 5 000 unikatowych użytkowników, głównie w Europie Zachodniej – w Niemczech, Szwajcarii, Szwecji, Francji i we Włoszech.


Rozkład geograficzny szkodnika Trojan.Win32.Mediyes

Celem tego szkodnika są bez wątpienia użytkownicy w Europie Zachodniej. Świadczą o tym inne dowody – certyfikat wydany przez szwajcarską firmę, serwer zlokalizowany w Niemczech oraz przechwytywanie jedynie żądań dokonywanych na najpopularniejszych wyszukiwarkach.

Poinformowaliśmy VeriSign o zagrożeniu i poprosiliśmy o unieważnienie zhakowanych certyfikatów.