Anatomija ZeroAccess Rootkita

Opisi virusa, 21.11.2010, 23:03 PM

Anatomija ZeroAccess Rootkita

ZeroAccess rootkit (vidi u Rečniku: rootkit) nije među najpoznatijim malicioznim programima u novijoj istoriji, ali nova, veoma detaljna analiza ovog programa pokazuje da je reč o savršenom primeru sofisticiranog malicioznog softvera kojeg napadači koriste za stalan, tihi upad u kompromitovane računare.

ZeroAccess se koristi kao platforma za instalaciju drugih malicioznih programa na zaraženom računaru i kao deo šeme za instalaciju lažnih antivirusnih programa posle koje se od korisnika traži da plati kako bi program bio uklonjen. Prema analizi istraživača Đuzepea Bonfa iz Instituta InfoSec, rootkit je naročito podmukao i neugodan jer ima sposobnost da se ubaci u drajvere različitih uređaja i procesa i smesti sebe u bazične nivoe softvera. Obimna analiza ZeroAccess rootkita secira deo po deo i ukazuje na metode koje on koristi za infekciju računara, svoje održanje na zaraženom računaru i ostajanje van dometa radara antivirusa.

“Institut InfoSec bi klasifikovao ZeroAccess kao sofisticirani, napredni rootkit. ZeroAccess je crimeware koji služi kao platforma za instalaciju različitih malicioznih programa na napadnutim kompjuterima. Pred toga, on ima funkcije koje korisnicima posao uklanjanja instaliranih malicioznih programa čine nemogućim i otežavaju forenzičku analizu stručnjaka za kompjutersku bezbednost,” piše Bonfa.

“Na kraju analize, pratićemo kriminalno poreklo ZeroAccess rootkita. Otkrićemo da je svrha ovog rootkita da bude nevidljiv, da se ne može detektovati, i da bude platfoma za isporuku malicioznog softvera na računare žrtava koju je nemoguće ukloniti. Takođe, videćemo da se ZeroAccess treutno koristi za ulaz FakeAntivirus crimeware programa koji nastoje da prevare korisnika da plati 70 dolara za uklanjanje lažnog antivirusa sa računara. On može biti korišćen i za ulaz bilo koje maliciozne aplikacije u zaraženi računar, kao što je ona koja kasnije krade bankovne podatke i podatke kreditnih kartica.”

Jedan od trikova koje ZeroAccess koristi su API pozivi niskog nivoa za pisanje po novokreiranoj particiji koju korisnik inace ni ne vidi. Rootkit takođe vrši nadzor nad procesima na nivou kernela, te u kernel modu ima sposobnost da izbegne u memoriji većinu forenzičkih alatki (dibageri, prim. prev.), kao i procese za nadgledanje malicioznih programa.

Motiv za nevidljivost i pametan inženjering, kao što se može pretpostaviti, je novac. ZeroAccess rootkit se koristi kao platforma za instalaciju lažnih antivirusnih programa na zaraženim računarima kako bi se, u krajnjoj liniji, od žrtava zatražila nadoknada za uslugu uklanjanja neželjenog softvera. Mnogi scareware (vidi u Rečniku: scareware) ili lažni antivirusni programi se instaliraju ili drive-by downloadom ili kada korisnik klikne na prozor sa obaveštenjem, upozorenjem ili pitanjem (dialog box) na zaraženom veb-sajtu.

U slučaju ZeroAccessa, rootkit koristi maliciozni DLL fajl da bi se startovale komande koje na kraju rezultiraju pozivima za komunikaciju sa udaljenim serverom i zahtevom da maliciozni kod instalira lažni antivirusni softver.

Ovaj ubačeni DLL fajl služi za generisanje preusmeravanja ka malicioznim veb-sajtovima na kojima se nalazi lažni antivirusni softver. Sa lažnim antivirusom koji žrtvu košta 30 do 100 dolara ma gde se ona nalazi, ovo predstavlja zlatni rudnik za kriminalce.

Lažni antivirusni i scareware programi su zlatni rudnici za napadače. Mnogo puta, žrtve koje plaćaju naknadu za navodno uklanjanje malicioznog softvera sa računara na kraju shvate da program ili nije uklonjen ili da je uklonjen pa je ubrzo ponovo došlo do ponovne infekcije računara. Ovi programi su često deo većih black hat SEO i SQL injection kampanja koje sprovode grupe napadača.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Trojanac koristi TeamViewer da bi inficirani računar pretvorio u proxy

Trojanac koristi TeamViewer da bi inficirani računar pretvorio u proxy

Maliciozni programi koji primenjuju popularni program TeamViewer da bi dobili neovlašćeni pristup inficiranom računaru nisu novost. Međutim, malve... Dalje

Novi ransomware šifruje fajlove, blokira pristup računaru i koristi ga za DDoS napad

Novi ransomware šifruje fajlove, blokira pristup računaru i koristi ga za DDoS napad

Istraživači kompanije Invincea otkrili su novi ransomware koji ne samo što inficirane računare i podatke na njima drži kao taoce, nego kompromito... Dalje

2 u 1: Ransomware Petya se vratio i sada se isporučuje u paketu sa ransomwareom Mischa

2 u 1: Ransomware Petya se vratio i sada se isporučuje u paketu sa ransomwareom Mischa

Mesec dana pošto je pronađeno rešenje za žrtve ransomwarea Petya, malver se vratio sa novom taktikom. I to ne sam. Sada Petya dolazi u paketu sa j... Dalje

Robin Hud među ransomwareima: CryptMix obećava da će zaradu donirati u dobrotvorne svrhe

Robin Hud među ransomwareima: CryptMix obećava da će zaradu donirati u dobrotvorne svrhe

Istraživači iz kompanije Heimdal Security otkrili su ransomware nazvan CryptMix koji ima “filantropski” pristup koji nije uobičajen za ... Dalje

U Rusiji otkriven novi ransomware Enigma

U Rusiji otkriven novi ransomware Enigma

Novi ransomware nazvan Enigma pojavio se u Rusiji, gde ga je krajem prošlog meseca primetio Jakob Krustek, koji se bavi reverznim inženjeringom i an... Dalje