Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Opisi virusa, 28.09.2011, 10:21 AM

Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Rootkit Alureon ne samo da zadaje glavobolju svojim žrtvama, korisnicima računara koje zarazi, zbog veoma podmuklih vektora infekcije i istrajnosti kojom opstaje na zaraženom računaru. On isto tako predstavlja izazov istraživačima angažovanim na poslovima identifikacije novih verzija i otkrivanju njihovih novih taktika i tehnika. Najnovija taktika kojom se služi Alureon je upotreba steganografije za skrivanje konfiguracijskih fajlova kako bi se zaraženi sistem ažurirao novim instrukcijama.

Steganografiju koristi veoma specifična verzija Alureona koja se često preuzima uz pomoć Trojanca i potom se instalira na računaru. Malware preuzima fajl “com32” sa određenog veb sajta, koji kada se dekodira prikazuje spisak URL adresa hostovanih na LiveJournal-u i WordPress-u. Na svakoj od tih stranica nalaze se brojne različite slike, koje izgledaju bezopasno na prvi pogled i koje su hostovane na besplatnom servisu imageshack.us. Međutim, istraživači kompanije Microsoft su, proučavajući kod koji pretražuje stranice, otkrili su da taj kod traga za tačno određenim IMG HTML tagovima. Tačno određene JPG fajlove će preuzeti Trojanac zajedno sa ASCII nizom od 61 karaktera koji izgleda kao lozinka.

Analiza je pokazala da kod koji je ubačen u svaki od ovih JPG fajlova je konfiguracijski fajl za koji je korišćena steganografija. Jedan deo tog fajla sadrži spisak servera za komandu i kontrolu. Svrha ovako javno hostovanih podataka je da obezbede da u slučaju da serveri za komandu i kontolu ne mogu biti kontaktirani, Alureon tada potraži ažurirani konfiguracijski fajl sa takvih rezervnih lokacija, kažu u Microsoft-u.

Slike koje se koriste za prikrivanje konfiguracijskog fajla izgleda da su birane nasumično jer je reč o slikama kao što su fotografija starije ženske osobe, činija sa nečim što izgleda kao zdrava hrana i naravno - Tom Kruz.

Alureon, poznat i po nazivima TDSS ili TDL4, je poslednjih nekoliko godina stekao reputaciju ozloglašenog malware-a koji predstavlja ozbiljnu opasnost. Dodatak steganografije je samo jedna u nizu novih funkcija dodatih ovom opasnom programu tokom nekoliko poslednjih meseci. Ranije ove godine istraživači su identifikovali verziju Alureona koji koristi staru brute-force tehniku kako bi dekodirao neke delove sopstvenog koda koji su kodirani. U junu se pojavila još jedna verzija koja je imala sopstveni samoobnavljajući loader koji je omogućio Alureonu širenje putem mreže onda kada se nađe na računaru korisnika.

Maliciozni programi iz grupe Alureon poznati su po krađi podataka i načinu na koji to rade. Alureon prikuplja poverljive podatke (korisnička imena, lozinke, brojeve kreditnih kartica), prenosi maliciozne fajlove i podatke na zaraženi kompjuter i ima sposobnost da menja DNS podešavanja na zaraženom računaru što mu i omogućava da realizuje ono zbog čega je ovaj program i osmišljen. Ova nova verzija malware često se preuzima u paketu sa lažnim programom za defragmentaciju - Fake Sysdef.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sa ChatGPT napravljen polimorfni malver

Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje

Opasni ransomware Clop sada inficira i Linux sisteme

Opasni ransomware Clop sada inficira i Linux sisteme

Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje