Anatomija ZeroAccess Rootkita

Opisi virusa, 21.11.2010, 23:03 PM

Anatomija ZeroAccess Rootkita

ZeroAccess rootkit (vidi u Rečniku: rootkit) nije među najpoznatijim malicioznim programima u novijoj istoriji, ali nova, veoma detaljna analiza ovog programa pokazuje da je reč o savršenom primeru sofisticiranog malicioznog softvera kojeg napadači koriste za stalan, tihi upad u kompromitovane računare.

ZeroAccess se koristi kao platforma za instalaciju drugih malicioznih programa na zaraženom računaru i kao deo šeme za instalaciju lažnih antivirusnih programa posle koje se od korisnika traži da plati kako bi program bio uklonjen. Prema analizi istraživača Đuzepea Bonfa iz Instituta InfoSec, rootkit je naročito podmukao i neugodan jer ima sposobnost da se ubaci u drajvere različitih uređaja i procesa i smesti sebe u bazične nivoe softvera. Obimna analiza ZeroAccess rootkita secira deo po deo i ukazuje na metode koje on koristi za infekciju računara, svoje održanje na zaraženom računaru i ostajanje van dometa radara antivirusa.

“Institut InfoSec bi klasifikovao ZeroAccess kao sofisticirani, napredni rootkit. ZeroAccess je crimeware koji služi kao platforma za instalaciju različitih malicioznih programa na napadnutim kompjuterima. Pred toga, on ima funkcije koje korisnicima posao uklanjanja instaliranih malicioznih programa čine nemogućim i otežavaju forenzičku analizu stručnjaka za kompjutersku bezbednost,” piše Bonfa.

“Na kraju analize, pratićemo kriminalno poreklo ZeroAccess rootkita. Otkrićemo da je svrha ovog rootkita da bude nevidljiv, da se ne može detektovati, i da bude platfoma za isporuku malicioznog softvera na računare žrtava koju je nemoguće ukloniti. Takođe, videćemo da se ZeroAccess treutno koristi za ulaz FakeAntivirus crimeware programa koji nastoje da prevare korisnika da plati 70 dolara za uklanjanje lažnog antivirusa sa računara. On može biti korišćen i za ulaz bilo koje maliciozne aplikacije u zaraženi računar, kao što je ona koja kasnije krade bankovne podatke i podatke kreditnih kartica.”

Jedan od trikova koje ZeroAccess koristi su API pozivi niskog nivoa za pisanje po novokreiranoj particiji koju korisnik inace ni ne vidi. Rootkit takođe vrši nadzor nad procesima na nivou kernela, te u kernel modu ima sposobnost da izbegne u memoriji većinu forenzičkih alatki (dibageri, prim. prev.), kao i procese za nadgledanje malicioznih programa.

Motiv za nevidljivost i pametan inženjering, kao što se može pretpostaviti, je novac. ZeroAccess rootkit se koristi kao platforma za instalaciju lažnih antivirusnih programa na zaraženim računarima kako bi se, u krajnjoj liniji, od žrtava zatražila nadoknada za uslugu uklanjanja neželjenog softvera. Mnogi scareware (vidi u Rečniku: scareware) ili lažni antivirusni programi se instaliraju ili drive-by downloadom ili kada korisnik klikne na prozor sa obaveštenjem, upozorenjem ili pitanjem (dialog box) na zaraženom veb-sajtu.

U slučaju ZeroAccessa, rootkit koristi maliciozni DLL fajl da bi se startovale komande koje na kraju rezultiraju pozivima za komunikaciju sa udaljenim serverom i zahtevom da maliciozni kod instalira lažni antivirusni softver.

Ovaj ubačeni DLL fajl služi za generisanje preusmeravanja ka malicioznim veb-sajtovima na kojima se nalazi lažni antivirusni softver. Sa lažnim antivirusom koji žrtvu košta 30 do 100 dolara ma gde se ona nalazi, ovo predstavlja zlatni rudnik za kriminalce.

Lažni antivirusni i scareware programi su zlatni rudnici za napadače. Mnogo puta, žrtve koje plaćaju naknadu za navodno uklanjanje malicioznog softvera sa računara na kraju shvate da program ili nije uklonjen ili da je uklonjen pa je ubrzo ponovo došlo do ponovne infekcije računara. Ovi programi su često deo većih black hat SEO i SQL injection kampanja koje sprovode grupe napadača.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Critroni (CTB-Locker): Prvi ransomware koji koristi Tor za komunikaciju

Critroni (CTB-Locker): Prvi ransomware koji koristi Tor za komunikaciju

Poznati francuski istraživač Kafeine otkrio je novi ransomware nazvan Critroni, koji se reklamira na hakerskim forumima kao nova generacija poznatog... Dalje

Trojanac Pushdo zarazio 11000 računara za samo 24 sata

Trojanac Pushdo zarazio 11000 računara za samo 24 sata

Jedna od najstarijih familija malvera, Pushdo, ponovo hara internetom, a nova verzija Trojanca koju su otkrili stručnjaci Bitdefendera za samo 24 sat... Dalje

Novi bankarski trojanac Kronos nudi se na ruskim hakerskim forumima po ceni od 7000 dolara

Novi bankarski trojanac Kronos nudi se na ruskim hakerskim forumima po ceni od 7000 dolara

Novi malver nazvan Kronos, trojanski program dizajniran za krađu informacija korisnika sa web sajtova banaka, reklamira se na ruskim hakerskim forumi... Dalje

Geodo: Nova verzija malvera Cridex je kombinacija email crva i kradljivca podataka

Geodo: Nova verzija malvera Cridex je kombinacija email crva i kradljivca podataka

Stručnjaci firme Seculert otkrili su novu verziju malvera Cridex, nazvanu Geodo, i upozorili da nova verzija malvera koristi metod automatskog širen... Dalje

Trojanac Lite Zeus: Siromašniji funkcionalnostima ali opasan kao original

Trojanac Lite Zeus: Siromašniji funkcionalnostima ali opasan kao original

Zeus (Zbot) je čuveni trojanski program koji može da krade osetljive podatke sa zaraženog računara, uključujući i lozinke i informacije o bankov... Dalje