Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Opisi virusa, 28.09.2011, 10:21 AM

Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Rootkit Alureon ne samo da zadaje glavobolju svojim žrtvama, korisnicima računara koje zarazi, zbog veoma podmuklih vektora infekcije i istrajnosti kojom opstaje na zaraženom računaru. On isto tako predstavlja izazov istraživačima angažovanim na poslovima identifikacije novih verzija i otkrivanju njihovih novih taktika i tehnika. Najnovija taktika kojom se služi Alureon je upotreba steganografije za skrivanje konfiguracijskih fajlova kako bi se zaraženi sistem ažurirao novim instrukcijama.

Steganografiju koristi veoma specifična verzija Alureona koja se često preuzima uz pomoć Trojanca i potom se instalira na računaru. Malware preuzima fajl “com32” sa određenog veb sajta, koji kada se dekodira prikazuje spisak URL adresa hostovanih na LiveJournal-u i WordPress-u. Na svakoj od tih stranica nalaze se brojne različite slike, koje izgledaju bezopasno na prvi pogled i koje su hostovane na besplatnom servisu imageshack.us. Međutim, istraživači kompanije Microsoft su, proučavajući kod koji pretražuje stranice, otkrili su da taj kod traga za tačno određenim IMG HTML tagovima. Tačno određene JPG fajlove će preuzeti Trojanac zajedno sa ASCII nizom od 61 karaktera koji izgleda kao lozinka.

Analiza je pokazala da kod koji je ubačen u svaki od ovih JPG fajlova je konfiguracijski fajl za koji je korišćena steganografija. Jedan deo tog fajla sadrži spisak servera za komandu i kontrolu. Svrha ovako javno hostovanih podataka je da obezbede da u slučaju da serveri za komandu i kontolu ne mogu biti kontaktirani, Alureon tada potraži ažurirani konfiguracijski fajl sa takvih rezervnih lokacija, kažu u Microsoft-u.

Slike koje se koriste za prikrivanje konfiguracijskog fajla izgleda da su birane nasumično jer je reč o slikama kao što su fotografija starije ženske osobe, činija sa nečim što izgleda kao zdrava hrana i naravno - Tom Kruz.

Alureon, poznat i po nazivima TDSS ili TDL4, je poslednjih nekoliko godina stekao reputaciju ozloglašenog malware-a koji predstavlja ozbiljnu opasnost. Dodatak steganografije je samo jedna u nizu novih funkcija dodatih ovom opasnom programu tokom nekoliko poslednjih meseci. Ranije ove godine istraživači su identifikovali verziju Alureona koji koristi staru brute-force tehniku kako bi dekodirao neke delove sopstvenog koda koji su kodirani. U junu se pojavila još jedna verzija koja je imala sopstveni samoobnavljajući loader koji je omogućio Alureonu širenje putem mreže onda kada se nađe na računaru korisnika.

Maliciozni programi iz grupe Alureon poznati su po krađi podataka i načinu na koji to rade. Alureon prikuplja poverljive podatke (korisnička imena, lozinke, brojeve kreditnih kartica), prenosi maliciozne fajlove i podatke na zaraženi kompjuter i ima sposobnost da menja DNS podešavanja na zaraženom računaru što mu i omogućava da realizuje ono zbog čega je ovaj program i osmišljen. Ova nova verzija malware često se preuzima u paketu sa lažnim programom za defragmentaciju - Fake Sysdef.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje