Новости

26 июня 2012 г

Trojan.Milicenso: сбылась мечта торговцев бумагой

Symantec сообщила о новой угрозе - Trojan.Milicenso. Вирус отправляет на серверы печати задания на распечатку случайных наборов символов вплоть до исчерпания запаса бумаги. При обнаружении антивирусными программами и помещении в карантин вирус не прекращает выполнения действий, так как использует уникальный механизм перенаправления программных запросов.

Код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке %System%. Затем исполняемый файл себя удаляет.

Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4 особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту - «черному ящику» (например, ThreatExpert).

Вирус также производит проверку наличия определенных драйверов системы, которые ассоциируются с режимом виртуальной машины.

Самым интересным является то, что большинство подпрограмм проверок/определения карантина используются в качестве защитных механизмов, позволяющих вирусу замаскироваться либо помешать анализу. Однако в данном случае, несмотря на наличие карантина, вирус не прекращает выполнения действий, а наоборот – производит определенные действия, например, запрос сайтов. Эти действия ассоциированы с Adware.Eorezo – так что возможно, что вирус использует рекламное программное обеспечение в качестве ложного объекта, отвлекающего на себя внимание, пытаясь таким образом избежать анализа в том плане, что вирус при этом получит категорию угрозы невысокого уровня и будет пропущен.

При выполнении действий вирус запрашивает значения времени создания папок System и System Volume Information для создания уникального значения – та же самая операция, выполнявшаяся при установке трояна. Затем код использует уникальное значение для расшифровки главного ключа шифрования, который используется для расшифровки и выполнения основного содержания трояна.

Троян шифрует собранную информацию и отправляет её атакующему в закодированном виде - имени файла запроса HTTP GET. Запрошенный файл, возвращаемый сервером, является зашифрованным вирусным кодом.

Один из созданных файлов данного вируса представляет собой исполняемый файл, идентифицируемый как Aware.Eorezo. Файл имеет цифровую подпись, использующую сертификат, выданный компании «Agence Exclusive». Срок действия сертификата истек в январе 2012, поэтому верификация цифровой подписи завершается ошибкой. На данный момент специалистам Symantec не удалось подтвердить существование компании «Agence Exclusive», что указывает на то, что это несуществующая компания либо компания, прекратившая свою деятельность. Исполняемый файл создан с единственной целью: расшифровка адреса URL и запуск выполнения команды ShellExecute, запускающей браузер для открытия расшифрованного адреса URL.

С этого домена происходит перенаправление трафика на другой рекламный адрес URL, с которого происходит перенаправление на следующий рекламный адрес URL; в конце браузер открывает случайный сайт. В процессе исследования в конце цепочки перенаправлений наблюдались различные французские сайты.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

18 октября 2013 г

 • Fujifilm XQ1: компактная камера Х-серии
 • Обновление Kaspersky Security для SharePoint Server
 • Fujifilm X-E2: эволюция легендарной X-E1
 • UserGate Web Filter с глубоким анализом контента

17 октября 2013 г

 • Обрано оператора домену .УКР
 • Android-троянец скрывается от антивирусов, используя очередную уязвимость
 • Розетка, которая всегда под рукой
 • "Яндекс" выяснил, что украинцы ищут о свадьбе
 • Седьмая версия продуктов ESET NOD32 Antivirus и ESET Smart Security
 • МТС снижает стоимость мобильного Интернета в роуминге
 • Ультратонкий внешний накопитель ADATA Dash Drive Elite SE720
 • Объективы Sony с байонетом E для полнокадровой матрицы

16 октября 2013 г

 • Philips открывает путь к хирургии для Google Glass
 • Нові зміни в складі членів ІнАУ
 • Киевстар приглашает студентов на стажировку
 • «Лаборатория Касперского» совершенствует защиту для мобильных устройств
 • Autodesk приобретает технологии Graitec по проектированию конструкций

15 октября 2013 г

 • Mio Technology заключила договор с компанией «Навигатор»
 • Horizon – платформа браузерных расширений для операторов мобильной связи
 • В Харькове открылся крупнейший датацентр в Восточной Украине «Onehostpower»