Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

AutoRun. Reaktywacja

Dodany 20 czerwca 2013, 10:42 CEST
Tagi:

W ostatnich miesiącach robaki napisane w Javie czy językach skryptowych, takich jak JavaScript czy VBScript, nie były szczególnie interesujące. Głównym powodem były ograniczone umiejętności twórców wirusów, którzy nie stworzyli niczego niezwykłego. Pojawiło się jednak kilka próbek, które przykuły naszą uwagę; ich złożoność świadczy o tym, że również i tu zdarzają się czasami profesjonaliści.       

Produkty firmy Kaspersky Lab wykrywają te specjalne robaki jako Worm.JS.AutoRun oraz Worm.Java.AutoRun. Szkodniki te są również wykrywane przy użyciu metod heurystycznych jako HEUR:Worm.Script.Generic oraz HEUR:Worm.Java.Generic

Te dwa robaki mają trzy główne cechy wspólne: mocne zaciemnienie kodu, główną szkodliwą funkcję typową dla backdoora oraz podobne metody rozprzestrzeniania się. Oba robaki rozprzestrzeniają się poprzez kopiowanie swojego kodu oraz pliku konfiguracyjnego autorun.inf do folderów głównych logicznych woluminów przenośnych urządzeń magazynujących oraz dysków sieciowych. Jeżeli takie zainfekowane urządzenia zostaną otwarte na innych komputerach, infekcja może rozprzestrzenić się dalej. Po zainfekowaniu systemu operacyjnego i znalezieniu punktu zaczepienia w komputerze ofiary szkodliwe programy wykonują swoją główną szkodliwą funkcję.        

Przez wiele miesięcy liczba robaków AutoRun wykrywanych na komputerach użytkowników rozwiązań firmy Kaspersky Lab pozostawała praktycznie taka sama. Według danych pochodzących z Kaspersky Security Network, w ten sposób rozprzestrzenia się połowa wszystkich robaków skryptowych. W przypadku robaków Java, nie jest to ich typowa metoda rozprzestrzeniania się. Jednak w ciągu ostatnich trzech miesięcy zauważyliśmy znaczny wzrost liczby nowych modyfikacji robaka Worm.Java.AutoRun.     

wormautorun_01_auto.png

Poziomy wykryć unikatowych robaków skryptowych, robaków skrytpwych AutoRun oraz heurystycznie wykrytych robaków skryptowych AutoRun: sierpień 2011 – maj 2013   

wormautorun_02_auto.png
Poziomy wykryć robaków Java, AutoRun Java oraz heurystycznie wykrytych robaków AutoRun Java: sierpień 2011 – maj 2013 


Oba robaki są polimorficzne: modyfikują swoje ciała podczas rozprzestrzeniania się, co komplikuje ich wykrycie. Między innymi z tego powodu są bardziej widoczne w porównaniu z „regularnymi” robakami.

Poniżej opis szkodników, na jakie trafiliśmy.

Worm.Java.AutoRun

Nie istnieje wiele opartych na Javie rezydentnych szkodliwych programów dla komputerów PC, a robaki są w szczególności rzadkie. Dlatego przeprowadziliśmy szczegółową analizę tej próbki.

Robak instaluje się w zainfekowanym komputerze w formie czterech plików:

  1. Archiwum Javy (główny komponent); jego nazwa zmienia się z każdą próbą infekcji. Jest zlokalizowany w folderze tymczasowym użytkownika %TEMP%\jar_cache*.tmp.
  2. Autorun.inf: plik konfiguracyjny, który zapewnia automatyczne uruchamianie robaka w momencie otwarcia zainfekowanego zewnętrznego urządzenia magazynującego lub zamontowanego urządzenia sieciowego.  
  3. Plik DLL: pomocniczy DLL (Win 32), który odpowiada za część zadania rozprzestrzeniania. Nazwa tego pliku różni się: jest określana w momencie zainfekowania komputera. DLL jest kopiowany do foldera tymczasowego użytkownika: %TEMP%\hsperfdata_%USERNAME%\.
  4. Java.exe to legalny plik wykonywalny preinstalowanego pakietu JAVA. Robak wykorzystuje go w celu zapewnienia sobie możliwości każdorazowego ładowania się do pamięci zainfekowanego komputera. Gdy następuje infekcja, ten plik wykonywalny jest kopiowany z %ProgramFiles% do foldera tymczasowego użytkownika i otrzymuje nazwę związaną z procesem systemowym, np. winlogon, csrss lub services. Następnie jest wykonywany przy użyciu parametrów uruchamiania archiwum Javy, który stanowi główny komponent.  

wormautorun_03_auto.png
Fragment pliku klasy szkodliwego archiwum Javy

Po zainicjowaniu szkodliwe archiwum Javy wypakowuje bibliotekę dll, kopiuje się do katalogu użytkownika tymczasowego i kopiuje plik wykonywalny Java.exe z %ProgramFiles% do tego samego katalogu, nadając mu „zaufaną” nazwę i wykonując go z parametrami uruchomienia zduplikowanego archiwum Javy. Następnie archiwum Javy wstrzykuje powyższą bibliotekę do procesu stworzonego w celu rozprzestrzeniania robaka do wszelkich dostępnych sekcji sieci i nośników wymiennych. Uruchomione szkodliwe oprogramowanie co jakiś czas wysyła zapytania do centrum kontroli w celu otrzymania instrukcji od cyberprzestępcy.    

Oprócz tych sztuczek robak ten wykorzystuje również mocne zaciemnianie. W połączeniu z zaciemnianiem Zelix KlassMaster wykorzystywany jest paker. Ponadto, jak już wspomniano wcześniej, robak jest polimorficzny. To utrudnia wykrycie go przez rozwiązania antywirusowe.

Według Kaspersky Security Network, robak ten jest najbardziej rozpowszechniony w Indiach i Malezji. Ogólny obraz sytuacji przedstawiono na mapie poniżej.

wormautorun_04_auto.png
Rozkład geograficzny użytkowników chronionych przed robakiem Worm.Java.AutoRun, styczeń – maj 2013   

Z tych samych danych wynika, że robak ten był najczęściej wykrywany przez produkty firmy Kaspersky Lab pod koniec maja. Większość przypadków wykrycia dotyczyło jego najnowszych modyfikacji – tych, które spowodowały nagły wzrost liczby wykryć. Szkodnik ten nadal aktywnie rozprzestrzenia się, dlatego uważnie monitorujemy jego aktywność.     

wormautorun_05_auto.png
Liczba użytkowników chronionych przed robakiem Worm.Java.AutoRun, kwiecień-maj 2013

Worm.JS.AutoRun

Model rozprzestrzeniania tego robaka nie tylko wykorzystuje opisaną wcześniej metodę z użyciem autorun.inf, ale również serwery FTP, strony umożliwiające współdzielenie plików, współdzielone foldery i płyty CD/DVD wypalone na zainfekowanych komputerach.    

Robak ten rozmnaża się w katalogach i dodaje swoje uruchomienie do automatycznego uruchamiania. W tym momencie sprawdza środowisko, w którym został uruchomiony. Jeżeli jest uruchamiany na maszynie  niewirtualnej, zaczyna szukać aktywnych narzędzi monitorujących i służących do ochrony komputerów PC. Jeżeli zostaną wykryte, robak zakończy swoje działanie.    

Szkodliwy program otrzymuje polecenia za pośrednictwem pliku pobranego z centrum kontroli. Instrukcje te dotyczą głównie gromadzenia informacji z zainfekowanego systemu. W szczególności, cyberprzestępcy chcą, aby robak gromadził informacje o systemie, użytkowniku i zainstalowanym oprogramowaniu.

Podobnie jak Worm.Java.AutoRun, próbka ta jest dobrze zaszyfrowana i może zmieniać swoją postać w różnych infekcjach.

wormautorun_06_auto.png
Fragment kodu robaka Worm.JS.AutoRun

Podobnie jak opisany wcześniej robak, szkodnik ten jest najbardziej rozpowszechniony w Azji Południowo-Wschodniej, jednak wariant ten jest bardziej aktywny w Wietnamie i Indonezji.

wormautorun_07_auto.png
Rozkład geograficzny użytkowników chronionych przed robakiem Worm.JS.AutoRun od początku 2013 roku do końca maja 2013 r.

 

wormautorun_08_auto.png
Liczba użytkowników chronionych przed robakiem Worm.JS.AutoRun na początku 2013 roku do końca maja 2013 roku.

Wykres ten pokazuje liczbę użytkowników chronionych przy użyciu jedynie metody sygnaturowej. O wiele więcej użytkowników jest chronionych przy użyciu metod heurystycznych, jak pokazuje pierwszy wykres. 

Według danych Kaspersky Security Network, Windows XP jest powszechnie wykorzystywany w państwach, w których liczba wykryć tego szkodnika jest wysoka. Nowsze wersje systemu operacyjnego Microsoftu proszą użytkowników o potwierdzenie wykonania automatycznego uruchomienia, co zmniejsza szanse infekcji. Począwszy od Windowsa 7 tylko nośniki CD/DVD mogą być uruchamiane automatycznie. W przypadku wykorzystywania zewnętrznych urządzeń magazynujących (np. USB), funkcja autorun jest wyłączona.      

W celu zapewnienia ochrony komputera przed infekcją zalecamy aktualizację krytycznych jednostek systemu operacyjnego i zainstalowanych na komputerze baz antywirusowych. Wskazówki, jak ustawić funkcję autorun oraz odsyłacze do aktualizacji można znaleźć w następującym artykule firmy Microsoft http://support.microsoft.com/kb/967715.