Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Opisi virusa, 28.09.2011, 10:21 AM

Još jedna promena rootkit-a Alureon: dodatak steganografije i backup adresa C&C servera

Rootkit Alureon ne samo da zadaje glavobolju svojim žrtvama, korisnicima računara koje zarazi, zbog veoma podmuklih vektora infekcije i istrajnosti kojom opstaje na zaraženom računaru. On isto tako predstavlja izazov istraživačima angažovanim na poslovima identifikacije novih verzija i otkrivanju njihovih novih taktika i tehnika. Najnovija taktika kojom se služi Alureon je upotreba steganografije za skrivanje konfiguracijskih fajlova kako bi se zaraženi sistem ažurirao novim instrukcijama.

Steganografiju koristi veoma specifična verzija Alureona koja se često preuzima uz pomoć Trojanca i potom se instalira na računaru. Malware preuzima fajl “com32” sa određenog veb sajta, koji kada se dekodira prikazuje spisak URL adresa hostovanih na LiveJournal-u i WordPress-u. Na svakoj od tih stranica nalaze se brojne različite slike, koje izgledaju bezopasno na prvi pogled i koje su hostovane na besplatnom servisu imageshack.us. Međutim, istraživači kompanije Microsoft su, proučavajući kod koji pretražuje stranice, otkrili su da taj kod traga za tačno određenim IMG HTML tagovima. Tačno određene JPG fajlove će preuzeti Trojanac zajedno sa ASCII nizom od 61 karaktera koji izgleda kao lozinka.

Analiza je pokazala da kod koji je ubačen u svaki od ovih JPG fajlova je konfiguracijski fajl za koji je korišćena steganografija. Jedan deo tog fajla sadrži spisak servera za komandu i kontrolu. Svrha ovako javno hostovanih podataka je da obezbede da u slučaju da serveri za komandu i kontolu ne mogu biti kontaktirani, Alureon tada potraži ažurirani konfiguracijski fajl sa takvih rezervnih lokacija, kažu u Microsoft-u.

Slike koje se koriste za prikrivanje konfiguracijskog fajla izgleda da su birane nasumično jer je reč o slikama kao što su fotografija starije ženske osobe, činija sa nečim što izgleda kao zdrava hrana i naravno - Tom Kruz.

Alureon, poznat i po nazivima TDSS ili TDL4, je poslednjih nekoliko godina stekao reputaciju ozloglašenog malware-a koji predstavlja ozbiljnu opasnost. Dodatak steganografije je samo jedna u nizu novih funkcija dodatih ovom opasnom programu tokom nekoliko poslednjih meseci. Ranije ove godine istraživači su identifikovali verziju Alureona koji koristi staru brute-force tehniku kako bi dekodirao neke delove sopstvenog koda koji su kodirani. U junu se pojavila još jedna verzija koja je imala sopstveni samoobnavljajući loader koji je omogućio Alureonu širenje putem mreže onda kada se nađe na računaru korisnika.

Maliciozni programi iz grupe Alureon poznati su po krađi podataka i načinu na koji to rade. Alureon prikuplja poverljive podatke (korisnička imena, lozinke, brojeve kreditnih kartica), prenosi maliciozne fajlove i podatke na zaraženi kompjuter i ima sposobnost da menja DNS podešavanja na zaraženom računaru što mu i omogućava da realizuje ono zbog čega je ovaj program i osmišljen. Ova nova verzija malware često se preuzima u paketu sa lažnim programom za defragmentaciju - Fake Sysdef.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje