Trojanac Badlib: Uz jednog Trojanca dobijete još tri

Opisi virusa, 25.08.2011, 11:28 AM

Downloader Trojanci su maliciozi programi koji su dizajnirani tako da korenito inficiraju sistem preuzimajući dodatne maliciozne programe koji se potom intaliraju na zaraženom sistemu.

Trojan.Badlib je primer takvog malware-a koji služi kao distributivna mreža drugih maliciozniih programa.

Kada se Badlib instalira i detektuje internet konekciju on će pokušati komunikaciju sa C&C (komandni i kontrolni) serverom kako bi dobio komande od njega. Kada kontaktira C&C server, Trojanac dobija instrukcije odakle treba da preuzme druge maliciozne programe. On dobija listu fajlova koje treba da preuzme kao i njihove digitalne potpise kako bi bi se osiguralo da je reč o traženim fajlovima.

Badlib, odnosno aktuelna verzija koju su uočili u kompaniji Symantec, preuzima tri različita Trojanca: Trojan.Badfaker, Trojan.Badminer i Infostealer.Badface.

Trojan.Badfaker je onaj koji isključuje antivirusni program na zaraženom računaru o čemu naravno korisnik ne zna ništa. Kada otkrije i prepozna antivirusni program instaliran na računaru, on menja Windows tako da se sistem pokreće u safe modu prilikom sledećeg pokretanja. Onda Trojan.Badfaker briše sve fajlove i foldere koji imaju veze sa antivirusom koje pronađe, ali ostavlja ikonu iz glavnog izvršnog fajla kako bi se ona i dalje prikazivala korisniku u sistemskoj traci zadataka (system tray) kako korisnik ne bi primetio da je antivirus van funkcije.

Trojan.Badfaker potom isključuje zaštitni zid Windows-a (windows firewall) i onemogućva prikazivanje upozoorenja koja dolaze od Microsoft-ovog centra za bezbednost (Microsoft Security Center) da bi dalje povremeno prikazivao lažna upozorenja na engleskom ili ruskom jeziku o infekciji oponašajući tako legitimni i sada isključeni antivirusni softver.

Trojan.Badminer koristi snagu GPU zaraženo računara za kopanje bitcoin-a.

Infostealer.Badface prikuplja podatke potrebne za prijavljivanje korisnika na naloge popularnih društvenih mreža. On to radi preko lokalnog veb servera kroz koji se preusmerava saobraćaj koji ide ka ovim sajtovima.

Kada snimi podatke potrebne za prijavljivanje na naloge, korisnik se preusmerava na legitimnu stranu sajta društvene mreže gde je želeo da se prijavi. Prikupljeni podaci se prodaju na crnom tržištu kako bi drugi kriminalci mogli da preotimaju naloge društvenih mreža a krajnji cilj je zarada koja se ostvaruje na različite načine.

Na osnovu domena koje koristi, dvojezične prirode Trojanca i lokacije računara koji su u funkciji komande i kontrole saobraćaja, istraživači veruju da je ovaj Trojanac poreklom iz Rusije ili nekih od zemalja Istočne Evrope. Oni veruju da će se maliciozni programi koje preuzima Trojan.Badlib vremenom menjati.