RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→27 фев 2010→Зловредные картинки
Зловредные картинки
Эксперт «Лаборатории Касперского»
опубликовано 27 фев 2010, 15:46 MSK
Сюжеты: Статистика по зловредам, Ботнеты, Статистика по уязвимостям, LdPinch
Pinch – одна из легендарных вредоносных программ Рунета. С середины 2003 года этот троянец доставляет регулярные проблемы антивирусным компаниям. Его исходные коды модифицировали и правили многие начинающие злоумышленники, а базы паролей, украденные с его помощью, постоянно появлялись на черном рынке. Не удивительно, что именно этот троянец «всплыл» в одном из прошедших инцидентов, связанных с фотохостингом компании Google.
Логотип программы Picasa,
осуществляющей непосредственную работу
с фотохостингом компании Google
В процессе слежения за сайтами, используемыми злоумышленниками для взлома и распространения вредоносных программ, мы наткнулись на множество ресурсов, зараженных одинаковыми по коду скриптами. В начале заглавной страницы каждого такого сайта находится специальный зашифрованный скрипт. Анализируя браузер и набор дополнений к нему, скрипт формирует специальный запрос к серверу злоумышленника для выбора уязвимости, которая будет использоваться для проникновения на компьютер посетителя зараженного сайта.
Пример кода заглавной страницы зараженного сайта
На момент исследования злоумышленники использовали уязвимости только в браузерах Internet Explorer 6, 7 и QuickTime. После их успешной эксплуатации загружался следующий код:
Код, отрабатывающий после успешной реализации уязвимостей
Цель этого кода – обращение к фотохостингу компании Google и загрузка специально сформированной картинки:
Картинка, размещенная на фотохостинге Google
После успешной загрузки данной картинки код расшифровывает специально сформированный «довесок» к ней, который оказалтся троянцем Trojan-Dropper.Win32.Dropirin.ah. При этом в коде картинки по циклически повторяющейся последовательности байт, не характерных для данных формата GIF, хорошо видно расположение данного троянца.
Содержимое кода картинки с данными, не характерными для формата GIF
После расшифровки и запуска троянца-дроппера, на компьютере жертвы устанавливается программа Backdoor.Win32.WinUOJ.pz, предназначенная, в том числе, для скрытой загрузки и установки других вредоносных программ. Работа бота с командным центром ведется с использование шифрования, при этом сами центры регулярно меняются и находятся в различных регионах мира – в США, Сингапуре, Москве и т.д.
Пример команды для загрузки дополнительных вредоносных программ, полученной Backdoor.Win32.WinUOJ.pz от контрольной панели
Одной из особенностей данного бота является загрузка дополнительных вредоносных программ, упакованных аналогичными способами в те же GIF-картинки.
Пример обновлений, рассылаемых контрольным центром для ботнета, с использованием GIF-картинок
Одной из вредоносных программ, установленной злоумышленниками на строящийся ботнет, стала программа Trojan-PSW.Win32.LdPinch, обладающая накопленными за свою почти семилетнюю историю развития и разработки обширными возможностями для кражи конфиденциальной информации с зараженного компьютера.
Итого:
Использование GIF-файлов для заражения пользователей и передачи данных в строящемся ботнете является одной из самых находчивых вредоносных техник за последнее время. При наблюдении за сетевым трафиком компьютера процесс заражения и работы вредоносной программ невозможно определить стандартными средствами, так как со стороны это выглядит как загрузка обычных картинок при посещении обычного сайта. Формат GIF-файла и отсутствие каких-либо специальных проверок на фотохостингах дают злоумышленникам прекрасные возможности: экономить на покупке или аренде обычно выделенных серверов и практически анонимно строить/обновлять свои ботнеты. В этих условиях проблему можно решить, например, использованием техники перекодирования пользовательских картинок, аналогично тому, как это происходит с видеороликами на том же youtube.com.
27 фев 2010, 20:15
Отсюда вопрос: А КИС и КАВ видят этот вирус в гиф-картинках?) |
|
2 |
|
01 мар 2010, 10:54
Аваст тоже видит. При чем, если не ошибаюсь, это была jpg - картинка. |
|
01 мар 2010, 17:34
"хорошо видно расположение данного троянца" |
|
4 |
Re:
//Помню в институтских учебниках меня постоянно бесили фразы "очевидно", "хорошо видно" и т.д.
В выделенном участке "хорошо видны" одинаковые последовательности байт с длиной 10. Присмотритесь, например, к букве "M" и начинайте считать от неё символы, пока опять её не встретите. Увидели последовательности? В GIF формате используется алгоритм сжатия LZW (http://ru.wikipedia.org/wiki/LZW), для которого данные последовательности, мягко говоря, не характерны 8) Из этого можно сделать вывод, что данный блок не имеет отношение к картинкам. Предположив, что злоумышленники использовали какой-либо поточный шифр с короткой гаммой, для которого как раз и характерны данные последовательности (http://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D1%82%D0%BE%D1%87%D0%BD%D1%8B%D0%B9_%D1%88%D0%B8%D1%84%D1%80), восстановить зашифрованный блок, не представляется сложной задачей, если посчитать так же, что выделенный блок - это последовательность нулей в исполняемом файле перед началом первой секции (http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx).
//В учебниках по физике, под словами "хорошо видно", обычно еще большая муть скрывалась 8)
исправлено: Сергей Голованов, 03 мар 2010, 15:03
|
вирусяга пожирающий антивирусы 04 мар 2010, 18:39
гиф и джпг,джпег картинки-это фокус с двойным расширением,например: |
Также в аналитике
В блоге
В предупреждениях
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».