ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
|
Panda Software сообщает об одной из наиболее сложных организованных атак в истории
Panda Software Russia
|
|
15-08-2005 |
Троянец SpamNet.A, рассылая спам, структурированно заражает компьютеры различными видами вредоносного ПО, включая троянцы, backdoor-троянцы, дозвонщики и рекламное ПО.
✐ место для Вашей рекламы
Екатеринбург, 15 августа 2005
Лаборатория PandaLabs сообщает об усложненной ‘цепной’ атаке, выполняемой с помощью троянца SpamNet.A, обнаруженного на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру ‘дерева’ для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.
Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц. Что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц:
Когда открывается первая из двух страниц, она в свою очередь открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере.
При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Другие шесть файлов следующие:
- Первые два – бинарно-идентичные копии троянца Downloader.DQY, и оба создают в операционной системе файл под названием svchost.exe, который в действительности является троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается скачать и запустить файлы с четырех различных веб-адресов, два из которых были недоступны на время написания, и другие два это:
1. Троянец Multidropper.ARW
2. Троянец Sapilayr.A
- Третий из шестерки файлов - рекламная программа Adware/SpySheriff
- Четвертый - троянец Downloader.DYB, который пытается определить ID компьютера. Если компьютер находится в Великобритании, он скачивает и запускает дозвонщика Dialer.CHG. Если он не в Великобритании, он скачивает другой файл, идентифицированный как Dialer.CBZ. Эти типы файлов перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера.
- Пятый файл - Downloader.CRY, создает два файла. Первый из них svchost.exe, создается в c:\windows\system. Второй был идентифицирован как Lowzones.FO.
- Шестой, Downloader.EBY, создает, в свою очередь, другие шесть файлов:
1. Первый из них - троянец Downloader.DLH, который использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. На время написания, им было собрано 3 миллиона адресов.
2. Второй, троянец Agent.EY, устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях.
3. Третий файл, Clicker.HA, ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд.
4. Четвертый файл - дозвонщик Dialer.CBZ
5. Пятый – рекламная программа Adware/Adsmart
6. Шестой - троянец Downloader.DSV скачивает backdoor-троянца Galapoper.C с определенного адреса. Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое Интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки, и даже может содержать другие инструкции или обновления для Galapoper.C.
Galapoper.C также создает основной и два вторичных процесса: с помощью первого он периодически проверяет доступность контента на трех страницах, упомянутых выше. Он использует вторичные для рассылки спама (с зараженного компьютера) и компиляции информации с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений, каждые 10 минут или 70 тысяч спамовых писем.
Вторая страница перенаправляет пользователя на другую, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает новую страницу, используя HTML тэг – эта страница была недоступна на время написания статьи.
Она также открывает другую страницу, чей код маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.
Сложность этой атаки беспрецедентна. Луис Корронс, директор лаборатории PandaLabs, обьясняет: “Эта атака значительно изощренней прочих. Пользователи технологии TruPreventTM были защищены с самого начала, но это одна из самых сложных организованных атак, которую мы когда-либо наблюдали в PandaLabs. То, что было собрано более 3 миллионов адресов для отправки спама - показатель успешности атаки. Как часто в наши дни, здесь основным мотивом является финансовая прибыль, ведь спам является одним из основных источников дохода для создателей вредоносных программ”. В качестве совета, Корронс предлагает: “Кроме обладания антивирусным решением, пользователям необходимо убедиться в обновленности своих систем, поскольку SpamNet.A в основном полагается на эксплуатацию уязвимостей".
Чтобы предотвратить заражение SpamNet.A или другим вредоносных кодом, Panda Software рекомендует всем пользователям регулярно обновлять свои решения безопасности. Panda Software выпустила соответствующие обновления, доступные нашим клиентам для обнаружения и лечения этого вредоносного кода.
Panda Software предлагает воспользоваться бесплатным антивирусом Panda ActiveScan, который теперь способен обнаруживать шпионское ПО, по адресу http://www.activescan.com. Веб-мастеры, желающие разместить ActiveScan на своих сайтах, могут бесплатно получить HTML-код по адресу http://www.pandasoftware.com/partners/webmasters.
Panda Software также предлагает пользователям Virus Alerts, электронный бюллетень на английском и испанском языках, который предоставляет пользователям моментальные предупреждения о появлении потенциально опасных вредоносных кодов. Чтобы получать Virus Alerts просто посетите сайт Panda Software (http://www.pandasoftware.com/about/subscriptions/) и заполните соответствующую форму.
О PandaLabs
С 1990 года миссией PandaLabs был как можно более оперативный анализ новых угроз во имя защиты наших клиентов. Несколько команд, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. Для достижения этого им на помощь приходит технология TruPrevent™, глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на тщательный анализ. По данным Av.Test.org, PandaLabs в настоящий момент является наиболее быстрой лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.pandasoftware.com/pandalabs.asp).
Опубликовано: 15 августа 2005 г.
Ключевые слова: нет
Извините, комментариев пока нет
|