Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera
Opisi virusa, 28.09.2011, 10:21 AM
Rootkit Alureon ne samo da zadaje glavobolju svojim žrtvama, korisnicima računara koje zarazi, zbog veoma podmuklih vektora infekcije i istrajnosti kojom opstaje na zaraženom računaru. On isto tako predstavlja izazov istraživačima angažovanim na poslovima identifikacije novih verzija i otkrivanju njihovih novih taktika i tehnika. Najnovija taktika kojom se služi Alureon je upotreba steganografije za skrivanje konfiguracijskih fajlova kako bi se zaraženi sistem ažurirao novim instrukcijama.
Steganografiju koristi veoma specifična verzija Alureona koja se često preuzima uz pomoć Trojanca i potom se instalira na računaru. Malware preuzima fajl “com32” sa određenog veb sajta, koji kada se dekodira prikazuje spisak URL adresa hostovanih na LiveJournal-u i WordPress-u. Na svakoj od tih stranica nalaze se brojne različite slike, koje izgledaju bezopasno na prvi pogled i koje su hostovane na besplatnom servisu imageshack.us. Međutim, istraživači kompanije Microsoft su, proučavajući kod koji pretražuje stranice, otkrili su da taj kod traga za tačno određenim IMG HTML tagovima. Tačno određene JPG fajlove će preuzeti Trojanac zajedno sa ASCII nizom od 61 karaktera koji izgleda kao lozinka.
Analiza je pokazala da kod koji je ubačen u svaki od ovih JPG fajlova je konfiguracijski fajl za koji je korišćena steganografija. Jedan deo tog fajla sadrži spisak servera za komandu i kontrolu. Svrha ovako javno hostovanih podataka je da obezbede da u slučaju da serveri za komandu i kontolu ne mogu biti kontaktirani, Alureon tada potraži ažurirani konfiguracijski fajl sa takvih rezervnih lokacija, kažu u Microsoft-u.
Slike koje se koriste za prikrivanje konfiguracijskog fajla izgleda da su birane nasumično jer je reč o slikama kao što su fotografija starije ženske osobe, činija sa nečim što izgleda kao zdrava hrana i naravno - Tom Kruz.
Alureon, poznat i po nazivima TDSS ili TDL4, je poslednjih nekoliko godina stekao reputaciju ozloglašenog malware-a koji predstavlja ozbiljnu opasnost. Dodatak steganografije je samo jedna u nizu novih funkcija dodatih ovom opasnom programu tokom nekoliko poslednjih meseci. Ranije ove godine istraživači su identifikovali verziju Alureona koji koristi staru brute-force tehniku kako bi dekodirao neke delove sopstvenog koda koji su kodirani. U junu se pojavila još jedna verzija koja je imala sopstveni samoobnavljajući loader koji je omogućio Alureonu širenje putem mreže onda kada se nađe na računaru korisnika.
Maliciozni programi iz grupe Alureon poznati su po krađi podataka i načinu na koji to rade. Alureon prikuplja poverljive podatke (korisnička imena, lozinke, brojeve kreditnih kartica), prenosi maliciozne fajlove i podatke na zaraženi kompjuter i ima sposobnost da menja DNS podešavanja na zaraženom računaru što mu i omogućava da realizuje ono zbog čega je ovaj program i osmišljen. Ova nova verzija malware često se preuzima u paketu sa lažnim programom za defragmentaciju - Fake Sysdef.
Izdvojeno
Lažni cheat-ovi šire malver među gejmerima
Istraživači malvera iz kompanije McAfee otkrili su novi malver za krađu informacija koji je povezan sa malverom Redline. Malver se predstavlja se k... Dalje
Ruski backdoor u mrežama kompanija u istočnoj Evropi
Istraživači iz finske kompanije za sajber bezbednost WithSecure detaljno su opisali malo poznati ruski backdoor malver koji se koristi u napadima na... Dalje
Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1
Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje
Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta
Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje
Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver
Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje
Pratite nas
Nagrade