Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Opisi virusa, 28.09.2011, 10:21 AM

Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Rootkit Alureon ne samo da zadaje glavobolju svojim žrtvama, korisnicima računara koje zarazi, zbog veoma podmuklih vektora infekcije i istrajnosti kojom opstaje na zaraženom računaru. On isto tako predstavlja izazov istraživačima angažovanim na poslovima identifikacije novih verzija i otkrivanju njihovih novih taktika i tehnika. Najnovija taktika kojom se služi Alureon je upotreba steganografije za skrivanje konfiguracijskih fajlova kako bi se zaraženi sistem ažurirao novim instrukcijama.

Steganografiju koristi veoma specifična verzija Alureona koja se često preuzima uz pomoć Trojanca i potom se instalira na računaru. Malware preuzima fajl “com32” sa određenog veb sajta, koji kada se dekodira prikazuje spisak URL adresa hostovanih na LiveJournal-u i WordPress-u. Na svakoj od tih stranica nalaze se brojne različite slike, koje izgledaju bezopasno na prvi pogled i koje su hostovane na besplatnom servisu imageshack.us. Međutim, istraživači kompanije Microsoft su, proučavajući kod koji pretražuje stranice, otkrili su da taj kod traga za tačno određenim IMG HTML tagovima. Tačno određene JPG fajlove će preuzeti Trojanac zajedno sa ASCII nizom od 61 karaktera koji izgleda kao lozinka.

Analiza je pokazala da kod koji je ubačen u svaki od ovih JPG fajlova je konfiguracijski fajl za koji je korišćena steganografija. Jedan deo tog fajla sadrži spisak servera za komandu i kontrolu. Svrha ovako javno hostovanih podataka je da obezbede da u slučaju da serveri za komandu i kontolu ne mogu biti kontaktirani, Alureon tada potraži ažurirani konfiguracijski fajl sa takvih rezervnih lokacija, kažu u Microsoft-u.

Slike koje se koriste za prikrivanje konfiguracijskog fajla izgleda da su birane nasumično jer je reč o slikama kao što su fotografija starije ženske osobe, činija sa nečim što izgleda kao zdrava hrana i naravno - Tom Kruz.

Alureon, poznat i po nazivima TDSS ili TDL4, je poslednjih nekoliko godina stekao reputaciju ozloglašenog malware-a koji predstavlja ozbiljnu opasnost. Dodatak steganografije je samo jedna u nizu novih funkcija dodatih ovom opasnom programu tokom nekoliko poslednjih meseci. Ranije ove godine istraživači su identifikovali verziju Alureona koji koristi staru brute-force tehniku kako bi dekodirao neke delove sopstvenog koda koji su kodirani. U junu se pojavila još jedna verzija koja je imala sopstveni samoobnavljajući loader koji je omogućio Alureonu širenje putem mreže onda kada se nađe na računaru korisnika.

Maliciozni programi iz grupe Alureon poznati su po krađi podataka i načinu na koji to rade. Alureon prikuplja poverljive podatke (korisnička imena, lozinke, brojeve kreditnih kartica), prenosi maliciozne fajlove i podatke na zaraženi kompjuter i ima sposobnost da menja DNS podešavanja na zaraženom računaru što mu i omogućava da realizuje ono zbog čega je ovaj program i osmišljen. Ova nova verzija malware često se preuzima u paketu sa lažnim programom za defragmentaciju - Fake Sysdef.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova ''nevidljiva'' verzija opasnog malvera Banshee Stealer ugrožava milione korisnika macOS-a

Nova ''nevidljiva'' verzija opasnog malvera Banshee Stealer ugrožava milione korisnika macOS-a

Istraživači sajber bezbednosti iz kompanije Check Point otkrili su novu verziju malvera za krađu podataka za macOS pod nazivom Banshee Stealer, za ... Dalje

Nevidljivi špijun: Remcos RAT

Nevidljivi špijun: Remcos RAT

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje