Anatomija ZeroAccess Rootkita

Opisi virusa, 22.11.2010, 00:03 AM

Anatomija ZeroAccess Rootkita

ZeroAccess rootkit (vidi u Rečniku: rootkit) nije među najpoznatijim malicioznim programima u novijoj istoriji, ali nova, veoma detaljna analiza ovog programa pokazuje da je reč o savršenom primeru sofisticiranog malicioznog softvera kojeg napadači koriste za stalan, tihi upad u kompromitovane računare.

ZeroAccess se koristi kao platforma za instalaciju drugih malicioznih programa na zaraženom računaru i kao deo šeme za instalaciju lažnih antivirusnih programa posle koje se od korisnika traži da plati kako bi program bio uklonjen. Prema analizi istraživača Đuzepea Bonfa iz Instituta InfoSec, rootkit je naročito podmukao i neugodan jer ima sposobnost da se ubaci u drajvere različitih uređaja i procesa i smesti sebe u bazične nivoe softvera. Obimna analiza ZeroAccess rootkita secira deo po deo i ukazuje na metode koje on koristi za infekciju računara, svoje održanje na zaraženom računaru i ostajanje van dometa radara antivirusa.

“Institut InfoSec bi klasifikovao ZeroAccess kao sofisticirani, napredni rootkit. ZeroAccess je crimeware koji služi kao platforma za instalaciju različitih malicioznih programa na napadnutim kompjuterima. Pred toga, on ima funkcije koje korisnicima posao uklanjanja instaliranih malicioznih programa čine nemogućim i otežavaju forenzičku analizu stručnjaka za kompjutersku bezbednost,” piše Bonfa.

“Na kraju analize, pratićemo kriminalno poreklo ZeroAccess rootkita. Otkrićemo da je svrha ovog rootkita da bude nevidljiv, da se ne može detektovati, i da bude platfoma za isporuku malicioznog softvera na računare žrtava koju je nemoguće ukloniti. Takođe, videćemo da se ZeroAccess treutno koristi za ulaz FakeAntivirus crimeware programa koji nastoje da prevare korisnika da plati 70 dolara za uklanjanje lažnog antivirusa sa računara. On može biti korišćen i za ulaz bilo koje maliciozne aplikacije u zaraženi računar, kao što je ona koja kasnije krade bankovne podatke i podatke kreditnih kartica.”

Jedan od trikova koje ZeroAccess koristi su API pozivi niskog nivoa za pisanje po novokreiranoj particiji koju korisnik inace ni ne vidi. Rootkit takođe vrši nadzor nad procesima na nivou kernela, te u kernel modu ima sposobnost da izbegne u memoriji većinu forenzičkih alatki (dibageri, prim. prev.), kao i procese za nadgledanje malicioznih programa.

Motiv za nevidljivost i pametan inženjering, kao što se može pretpostaviti, je novac. ZeroAccess rootkit se koristi kao platforma za instalaciju lažnih antivirusnih programa na zaraženim računarima kako bi se, u krajnjoj liniji, od žrtava zatražila nadoknada za uslugu uklanjanja neželjenog softvera. Mnogi scareware (vidi u Rečniku: scareware) ili lažni antivirusni programi se instaliraju ili drive-by downloadom ili kada korisnik klikne na prozor sa obaveštenjem, upozorenjem ili pitanjem (dialog box) na zaraženom veb-sajtu.

U slučaju ZeroAccessa, rootkit koristi maliciozni DLL fajl da bi se startovale komande koje na kraju rezultiraju pozivima za komunikaciju sa udaljenim serverom i zahtevom da maliciozni kod instalira lažni antivirusni softver.

Ovaj ubačeni DLL fajl služi za generisanje preusmeravanja ka malicioznim veb-sajtovima na kojima se nalazi lažni antivirusni softver. Sa lažnim antivirusom koji žrtvu košta 30 do 100 dolara ma gde se ona nalazi, ovo predstavlja zlatni rudnik za kriminalce.

Lažni antivirusni i scareware programi su zlatni rudnici za napadače. Mnogo puta, žrtve koje plaćaju naknadu za navodno uklanjanje malicioznog softvera sa računara na kraju shvate da program ili nije uklonjen ili da je uklonjen pa je ubrzo ponovo došlo do ponovne infekcije računara. Ovi programi su često deo većih black hat SEO i SQL injection kampanja koje sprovode grupe napadača.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Kako nova opasna verzija bankarskog Trojanca Zeus izbegava detekciju antivirusa i browsera

Stručnjaci firme Comodo identifikovali su novu opasnu verziju poznatog bankarskog Trojanca Zeus koja je potpisana validnim Microsoftovim digitalnim s... Dalje

CryptoDefence, malver ''sa greškom'', zarađuje 34000 dolara mesečno od ucenjivanja korisnika

CryptoDefence, malver ''sa greškom'', zarađuje 34000 dolara mesečno od ucenjivanja korisnika

Ransomware CryptoDefence se pojavio krajem februara ove godine i od tada su Symantecovi proizvodi blokirali više od 11000 pokušaja infekcije ovim ma... Dalje

Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

CryptoLocker i drugi slični maliciozni programi koji se nazivaju zajedničkim imenom ransomware su već izvesno vreme veliki problem. Oni su poznati ... Dalje

Kako izgleda pljačka bankomata uz pomoć malvera i SMS poruka [VIDEO]

Kako izgleda pljačka bankomata uz pomoć malvera i SMS poruka [VIDEO]

Sve agresivnija kampanja Microsofta čiji je cilj da se korisnici motivišu da odustanu od daljeg korišćenja Windows XP, za sada ne daje željene re... Dalje

Linux crv Darlloz za četiri meseca zarazio 31000 uređaja

Linux crv Darlloz za četiri meseca zarazio 31000 uređaja

U novembru prošle godine Symantec je otkrio Linux crva koji je sposoban da zarazi različite uređaje koji se povezuju na internet, kao što su sigur... Dalje