Anatomija ZeroAccess Rootkita

Opisi virusa, 21.11.2010, 23:03 PM

Anatomija ZeroAccess Rootkita

ZeroAccess rootkit (vidi u Rečniku: rootkit) nije među najpoznatijim malicioznim programima u novijoj istoriji, ali nova, veoma detaljna analiza ovog programa pokazuje da je reč o savršenom primeru sofisticiranog malicioznog softvera kojeg napadači koriste za stalan, tihi upad u kompromitovane računare.

ZeroAccess se koristi kao platforma za instalaciju drugih malicioznih programa na zaraženom računaru i kao deo šeme za instalaciju lažnih antivirusnih programa posle koje se od korisnika traži da plati kako bi program bio uklonjen. Prema analizi istraživača Đuzepea Bonfa iz Instituta InfoSec, rootkit je naročito podmukao i neugodan jer ima sposobnost da se ubaci u drajvere različitih uređaja i procesa i smesti sebe u bazične nivoe softvera. Obimna analiza ZeroAccess rootkita secira deo po deo i ukazuje na metode koje on koristi za infekciju računara, svoje održanje na zaraženom računaru i ostajanje van dometa radara antivirusa.

“Institut InfoSec bi klasifikovao ZeroAccess kao sofisticirani, napredni rootkit. ZeroAccess je crimeware koji služi kao platforma za instalaciju različitih malicioznih programa na napadnutim kompjuterima. Pred toga, on ima funkcije koje korisnicima posao uklanjanja instaliranih malicioznih programa čine nemogućim i otežavaju forenzičku analizu stručnjaka za kompjutersku bezbednost,” piše Bonfa.

“Na kraju analize, pratićemo kriminalno poreklo ZeroAccess rootkita. Otkrićemo da je svrha ovog rootkita da bude nevidljiv, da se ne može detektovati, i da bude platfoma za isporuku malicioznog softvera na računare žrtava koju je nemoguće ukloniti. Takođe, videćemo da se ZeroAccess treutno koristi za ulaz FakeAntivirus crimeware programa koji nastoje da prevare korisnika da plati 70 dolara za uklanjanje lažnog antivirusa sa računara. On može biti korišćen i za ulaz bilo koje maliciozne aplikacije u zaraženi računar, kao što je ona koja kasnije krade bankovne podatke i podatke kreditnih kartica.”

Jedan od trikova koje ZeroAccess koristi su API pozivi niskog nivoa za pisanje po novokreiranoj particiji koju korisnik inace ni ne vidi. Rootkit takođe vrši nadzor nad procesima na nivou kernela, te u kernel modu ima sposobnost da izbegne u memoriji većinu forenzičkih alatki (dibageri, prim. prev.), kao i procese za nadgledanje malicioznih programa.

Motiv za nevidljivost i pametan inženjering, kao što se može pretpostaviti, je novac. ZeroAccess rootkit se koristi kao platforma za instalaciju lažnih antivirusnih programa na zaraženim računarima kako bi se, u krajnjoj liniji, od žrtava zatražila nadoknada za uslugu uklanjanja neželjenog softvera. Mnogi scareware (vidi u Rečniku: scareware) ili lažni antivirusni programi se instaliraju ili drive-by downloadom ili kada korisnik klikne na prozor sa obaveštenjem, upozorenjem ili pitanjem (dialog box) na zaraženom veb-sajtu.

U slučaju ZeroAccessa, rootkit koristi maliciozni DLL fajl da bi se startovale komande koje na kraju rezultiraju pozivima za komunikaciju sa udaljenim serverom i zahtevom da maliciozni kod instalira lažni antivirusni softver.

Ovaj ubačeni DLL fajl služi za generisanje preusmeravanja ka malicioznim veb-sajtovima na kojima se nalazi lažni antivirusni softver. Sa lažnim antivirusom koji žrtvu košta 30 do 100 dolara ma gde se ona nalazi, ovo predstavlja zlatni rudnik za kriminalce.

Lažni antivirusni i scareware programi su zlatni rudnici za napadače. Mnogo puta, žrtve koje plaćaju naknadu za navodno uklanjanje malicioznog softvera sa računara na kraju shvate da program ili nije uklonjen ili da je uklonjen pa je ubrzo ponovo došlo do ponovne infekcije računara. Ovi programi su često deo većih black hat SEO i SQL injection kampanja koje sprovode grupe napadača.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje