18 lutego 2016

Twórcy wirusów kontynuują tworzenie licznych złośliwych programów których celem jest pobieranie na zainfekowaną maszynę innego malware i wykonywanie poleceń cyberprzestępców. Tym samym analitycy bezpieczeństwa Doctor Web wykryli w lutym kolejnego trojana typu backdoor. Z przyczyny niektórych z posiadanych przez niego kluczowych cech ten trojan wyróżnia się na tle swoich odpowiedników.

Ten złośliwy program nazwany BackDoor.Andromeda.1407 rozpowszechnia się z użyciem wirusa Trojan.Sathurbot.1, trojana typu downloader, znanego również jako “Hydra”. BackDoor.Andromeda.1407 został zaprojektowany głównie do wykonywania instrukcji cyberprzestępców, włączając w nie pobieranie i instalowanie złośliwych aplikacji.

Uruchomiony, sprawdza linię poleceń pod kątem obecności klucza “/test”. Jeśli klucz zostanie wykryty, w konsoli drukowana jest wiadomość zawierająca następujący tekst: “\n Test - OK”. W ciągu 3 sekund funkcja kończy swoją pracę. Prawdopodobnie została ona wprowadzona w celu testowania programów pakujących. Niedługo potem trojan skanuje system pod kątem uruchomionych maszyn wirtualnych, aplikacji monitorujących procesy lub odwołania do rejestru systemowego i niektórych innych debuggerów. W przypadku znalezienia programu stanowiącego zagrożenie dla trojana, backdoor przechodzi w niekończący się tryb uśpienia.

Następnie BackDoor.Andromeda.1407 uzyskuje ID wolumenu systemowego, które jest używane podczas generowania wartości różnych wybranych obiektów — na przykład zmiennych systemowych i wiadomości wysyłanych do serwera. Potem próbuje wstrzyknąć swój kod w inny proces i zakończyć pracę oryginalnego odpowiednika. Gdy mu się to powiedzie, pozyskuje informacje o zainfekowanym komputerze, włączając pojemność systemu operacyjnego (RAM, zasoby dyskowe), jego wersję i bieżące uprawnienia użytkownika oraz układ klawiatury. Gdy backdoor wykryje, że Windows używa rosyjskiej, ukraińskiej, białoruskiej lub kazachskiej klawiatury, to kończy swoje działanie i usuwa się z systemu.

Następnie BackDoor.Andromeda.1407 próbuje uzyskać dokładny czas odwołując się do następujących serwerów - europe.pool.ntp.org, north-america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org i pool.ntp.org. Jeśli te serwery nie dostarczą mu wymaganych informacji, backdoor wysyła do systemu żądanie podania czasu systemowego. Uzyskana wartość jest aktywnie wykorzystywana przez wtyczki trojana. Wyświetlanie powiadomień systemu Windows zostaje wyłączone, razem z niektórymi usługami systemowymi, zależnymi od wersji systemu operacyjnego.

Jeśli zaatakowana maszyna pracuje pod kontrolą systemu Microsoft Windows 8 lub nowszego, trojan kontynuuje swoje działanie w oparciu o uprawnienia bieżącego użytkownika. W Windows 7 BackDoor.Andromeda.1407 próbuje podnieść swoje uprawnienia używając dobrze znanych metod i wyłączając Kontrolę Konta Użytkownika (User Accounts Control - UAC).

Jednakże po tym kroku procedura instalacyjna nie jest jeszcze kompletna. Trojan wyłącza wyświetlanie plików ukrytych w Eksploratorze Windows. Następnie rozpoczyna odwoływanie się do kilku katalogów systemowych i profili użytkowników w celu znalezienia takiego, który będzie otwarty do zapisu. Gdy taki folder zostanie znaleziony, backdoor kopiuje do niego plik dropper’a używając losowej nazwy i przypisuje temu plikowi atrybuty “ukryty” i “systemowy”, ukrywając je przed użytkownikiem. Czas utworzenia pliku również jest zmieniany. Ostatecznie BackDoor.Andromeda.1407 modyfikuje gałęzie rejestru systemowego w taki sposób, aby główny moduł trojana uruchamiał się automatycznie.

Backdoor zestawia połączenie z serwerem C&C za pomocą specjalnego zaszyfrowanego klucza, który jest następnie modyfikowany do postaci wiadomości tekstowej. Adres IP serwera jest również zaszyfrowany i zapisany w kodzie trojana. Aby uzyskać adres IP zainfekowanego komputera, BackDoor.Andromeda.1407 odwołuje się do serwerów microsoft.com, update.microsoft.com, bing.com, google.com i yahoo.com. Informacja jest zaszyfrowana i przesyłana z użyciem formatu JSON (JavaScript Object Notation). Tym samym backdoor otrzymuje instrukcje od cyberprzestępców, które mogą zawierać pobieranie dodatkowych wtyczek, pobieranie i uruchamianie plików wykonywalnych, aktualizowanie się, usunięcie wszystkich wtyczek lub usunięcie się trojana z zainfekowanego systemu.

Analitycy bezpieczeństwa Doctor Web odkryli, że BackDoor.Andromeda.1407 potrafi pobierać i instalować trojana ransomware Trojan.Encoder.3905, trojana bankowego Trojan.PWS.Panda.2401, Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 i wiele innych. Antywirusy Dr.Web z powodzeniem wykrywają i usuwają wirusa BackDoor.Andromeda.1407.

Więcej na temat tego trojana