3 czerwca 2016

W czerwcu analitycy bezpieczeństwa Doctor Web przebadali nowego niebezpiecznego wirusa wymierzonego w klientów rosyjskich banków. Wirus ten został zaprojektowany do wykradania pieniędzy z kont bankowych i do monitorowania aktywności użytkownika. Odziedziczył wiele funkcji po swoich poprzednikach – wirusach Zeus (Trojan.PWS.Panda) i Carberp, jednakże w odróżnieniu od nich potrafi rozpowszechniać się bez żadnej interwencji i pomocy ze strony użytkownika, infekując pliki wykonywalne. Poza tym wyleczenie zainfekowanego komputera jest dość skomplikowane i może zająć parę godzin.

Z przyczyny zdolności do rozpowszechniania się bez jakiejkolwiek interwencji ze strony użytkownika i infekowania plików wykonywalnych, ta złośliwa aplikacja, lub Trojan.Bolik.1, jak ją nazwaliśmy, została sklasyfikowana jako polimorficzny wirus plikowy.

Najniebezpieczniejszą funkcją tego trojana bankowego jest zdolność do samorozpowszechniania się i infekowania innych programów. Funkcja samorozpowszechniania się jest aktywowana przez cyberprzestępców. Następnie Trojan.Bolik.1 sprawdza foldery udostępnione z prawem do zapisu w windowsowym otoczeniu sieciowym lub podłączone urządzenia USB pod kątem obecności plików wykonywalnych w systemie Windows i infekuje je. Trojan.Bolik.1 potrafi atakować aplikacje 32- jak i 64- bitowe.

Antywirusy Dr.Web dla Windows wykrywają programy zainfekowane prze tego wirusa jako Win32.Bolik.1. Każdy taki program zawiera wirusa Trojan.Bolik.1 w postaci zaszyfrowanej, jak i inne wymagane informacje. Jeśli użytkownik uruchomi zainfekowany program, wirus odszyfrowuje trojana Trojan.Bolik.1 i uruchamia go bezpośrednio w pamięci komputera, bez zapisywania go na dysku. Co więcej, wirus posiada specjalny wbudowany mechanizm który natychmiast zmienia jego kod i strukturę odpowiedzialną za procedurę deszyfrowania, co pomaga wirusowi w pozostaniu niezauważonym tak długo, jak to tylko możliwe. Ponadto Win32.Bolik.1 próbuje powstrzymać działanie programów antywirusowych, które potrafią wykonywać złośliwe aplikacje w specjalnym emulatorze, implementując szczególne techniki składające się z różnych pętli i powtarzających się instrukcji.

Jako następca wirusa Carberp, Trojan.Bolik.1 zapożyczył obecność wirtualnego systemu plików zapisanego w specjalnym pliku, który jest zapisywany przez trojana w jednym z katalogów systemowych lub w folderze użytkownika. Ten system plików pozwala malware to na skryte zapisywanie informacji niezbędnych do jego działania na zainfekowanej maszynie. Po Zeusie Trojan.Bolik.1 odziedziczył mechanizm wstrzykiwania kodu w strony www, który jest używany przez cyberprzestępców do wykradania loginów i haseł dostępu do aplikacji bankowości online, lub do wykradania innych prywatnych danych użytkownika. Trojan.Bolik.1 jest przeznaczony głownie do atakowania klientów banków w Rosji. Świadczą o tym pewne linie w pliku konfiguracyjnym wirusa otrzymywanym z serwera C&C.

Głównym celem Trojan.Bolik.1 jest wykradanie poufnych informacji. Trojan potrafi realizować tą funkcję na kilka sposobów. Przykładowo, potrafi kontrolować dane przesyłane przez Microsoft Internet Explorera, Chrome, Operę i Firefoxa w celu wykradania informacji wprowadzanych do formularzy przez użytkownika. Oprócz tego ten złośliwy program potrafi wykonywać zrzuty ekranu i realizować funkcje programu typu keylogger. Trojan.Bolik.1 jest także zdolny do stworzenia swojego własnego serwera proxy i serwera www w celu umożliwienia współdzielenia plików z twórcami wirusa. Trojan potrafi wyszukiwać potrzebne pliki na podstawie maski określonej w otrzymanym poleceniu. Jak inne obecne trojany bankowe potrafi również zestawiać tak zwane połączenia zwrotne w celu zapewnienia komunikacji pomiędzy agresorami i zainfekowanym komputerem znajdującym się w sieci chronionej firewallem, lub nie posiadającym publicznego adresu IP, np. działającym w sieci wykorzystującej technikę NAT (Network Address Translation). Wszystkie informacje wysyłane i odbierane przez wirusa są szyfrowane z użyciem skomplikowanego algorytmu, a następnie kompresowane.

Funkcje i architektura wirusa Trojan.Bolik.1 są bardzo wyrafinowane, co czyni z niego naprawdę duże zagrożenie dla użytkowników systemu Windows. Antywirusy Dr.Web dla Windows wykrywają i usuwają wszystkie jego komponenty, jednakże procedura leczenia może zająć wiele czasu, ponieważ każda struktura wirusa Trojan.Bolik.1 posiada swoje własne, osobliwe cechy. Dlatego zalecamy naszym użytkownikom zachowanie cierpliwości podczas skanowania komputera przez antywirusa Dr.Web.

Choć, jak dotąd, nic nie wskazuje na to, aby Trojan.Bolik.1 był wymierzony w użytkowników spoza Federacji Rosyjskiej, to jednak doświadczenia z wirusami Zeus i Carberp, które dość mocno niepokoiły również i polskich użytkowników bankowości elektronicznej, pozwalają przypuszczać, że pojawienie się ich następcy poza granicami Rosji jest tylko kwestią czasu. Miejmy nadzieję, że tym razem większa świadomość zagrożenia zarówno wśród użytkowników jak i w samych bankach pozwoli wyjść z tego incydentu obronną ręką.

Więcej na temat tego trojana