Недавно мы обнаружили новый буткит — зловред, заражающий загрузочный сектор жесткого диска – Rookit.Win32.Fisp.a.

Для рапространения буткита используется Trojan-Downloader.NSIS.Agent.jd. Этот зловред попадает на компьютеры пользователей, которые опрометчиво пытаются скачать видеоролик на фальшивом китайском порносайте.

Загрузчик примечателен тем, что скачивает другие зловреды с помощью NSIS-движка, а все ссылки хранит в соответствующем NSIS-скрипте.

Фрагмент NSIS-скрипта зловреда Trojan-Downloader.NSIS.Agent.jd

Недавно, просматривая мою новостную ленту в социальной сети «ВКонтакте», я обнаружил интересный статус у одного из моих друзей — «попробуй новые стили ВКонтакте». Статус содержал ссылку. Мне все это показалось странным, и я решил проверить, что же находится по URL.

Перейдя по ссылке, я оказался на сайте durov-stil.co.cc, где посетителям предлагалось выбрать «новый стиль» для оформления своей страницы на сайте ВКонтакте.

Фрагмент главной страницы сайта durov-stil.co.cc

Дизайн сайта был скопирован с сайта ВКонтакте, но его адрес начинался не с vkontakte.ru, а с совершенно постороннего домена, а все кнопки в левой части окна вели на одну и ту же страницу. Я решил разобраться, зачем кому-то понадобилась эта подделка.

Я выбрал одну из предлагаемых тем для оформления, и на экране сразу же появилось окно с предложением ввести логин и пароль от аккаунта социальной сети «ВКонтакте».

Совсем недавно мы обнаружили новый троянец-вымогатель Trojan-Ransom.Win32.Vkont.a. Распространяется он с сайта, на котором предлагается скачать «Программу для взлома контакта по ID». Оформление страницы, на которой предлагается скачать программу, якобы позволяющую читать чужие сообщения, напоминает главную страницу сайта «ВКонтакте».

Фрагмент сайта, с которого распространяется вымогатель

Программы для взлома коммерческого ПО, к сожалению, пользуются определенной популярностью. Обратили на них внимание и вирусописатели, подготовив пару сюрпризов для любителей халявы.

Недавно нами был обнаружен троянец-дроппер, который выдает себя за генератор ключей для продуктов «Лаборатории Касперского». Файл называется kaspersky.exe.

После запуска файла на экране появляется окно генератора ключей с предложением выбрать продукт для взлома. После выбора одного из пунктов, программа начинает генерировать ключ.

Окно работающего кейгена

Пока любитель бесплатного сыра ожидает результата, на его компьютере уже орудуют два других зловреда, которые были тайком установлены и запущены дроппером.

На днях мы обнаружили, что через сервисы обмена мгновенными сообщениями была проведена спам-рассылка сообщений с вредоносными ссылками. Как выяснилось, рассылка производилась IM-червем Zeroll. Бот генерировал разные сообщения в зависимости от языка получателя. Вот некоторые из них:

“Wie findest du das Foto?”
“seen this?? :D %s”
“This is the funniest photo ever!”
“bekijk deze foto :D”
“uita-te la aceasta fotografie :D”

Как и во многих подобных случаях, злоумышленники использовали методы социальной инженерии, предлагая получателям посмотреть картинки с заманчивыми названиями. В конец сообщения добавлялась ссылка вида http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Кроме ссылки на файл Jenny.jpg рассылалась и аналогичная ссылка на Sexy.jpg.

Страница, на которую ведет ссылка “http://www.facebook.com/l.php?u=”, сама по себе зловредной не является — она содержит предупреждение от Facebook о том, что пользователь покидает сайт.

Предупреждение от Facebook

Если после “l.php?u=” добавить ссылку на произвольный сайт, то по ссылке также откроется окно с предупреждением Facebook. Однако после того, как пользователь нажмет кнопку “продолжить”, он по подставленной ссылке будет перенаправлен на соответствующую страницу. Этим и воспользовались злоумышленники, дополнив легитимную ссылку ссылкой на вредоносный ресурс.

Когда браузер переходит на страницу ********.org/Jenny.jpg, ему выдается файл “PIC1274214241-JPG-www.facebook.com.exe”, который может быть запущен на исполнение пользователем. Далее, по тексту, упоминая jenny.jpg и sexy.jpg, будет подразумеваться именно исполняемый файл, упомянутый в предыдущем предложении.

После анализа “jenny.jpg” и “sexy.jpg”, выяснилось, что это обычные даунлоадеры, защищенные упаковщиком, написанном на Visual Basic.

Фрагмент кода даунлоадера после полной распаковки файла “jenny.jpg”

Задача даунлоадеров стандартна для этого вида программ: скачать на зараженный компьютер еще одну вредоносную программу — файл srce.exe. А чтобы пользователь ничего не заподозрил, даунлоадеры после установки на компьютере открывают обещанную в разосланном спам-сообщении «интересную» картинку. Картинка подгружается из интернета — ссылка на нее видна на скриншоте.

Что же представляет из себя srce.exe? Это дроппер + загрузчик, внешняя оболочка которого, опять же, написана с использованием Visual Basic. Скачивает он червя IM-Worm.Win32.XorBot.a, который использует Yahoo Messenger для рассылки сообщений пользователям.

Таким образом, в ходе данной спам-рассылки в IM-сообщениях используется не прямая ссылка на вредоносный объект, а ссылка, указывающая на страницу Facebook. Можно сказать, что в данном случае Facebook используется как сервис, аналогичный bit.ly: он позволяет преобразовывать ссылки и переходить на них через собственный домен.

В настоящий момент спам-атака Zeroll продолжается. В сообщениях рассылаются ссылки на другие файлы, но с не менее «заманчивыми» именами — “Girls.jpg” и “Marisella.jpg”. И хотя многие знают, что нельзя бездумно переходить по ссылкам, даже если они присланы людьми из контакт-листа, не лишним будет об этом еще раз напомнить. Злоумышленники изобретательны — и спам от Zeroll очередной раз это подтверждает.

Совсем недавно мы писали о том, что в новой доменной зоне «.рф» уже появился спам. А ещё раньше, когда регистрация в зоне ".рф" была открыта только для госструктур и владельцев торговых марок, мы писали о возможных угрозах в национальных зонах. Сегодня я обнаружил мошеннический сайт, расположенный в этой зоне и распространяющий поддельные архивы. Название сайта весьма привлекательно для любителей бесплатного ПО, музыки, фильмов и т.д. – http://качаем.быстрая-закачка.рф.

Фрагмент сайта http://качаем.быстрая-закачка.рф

Совсем недавно у нас был обнаружен интересный PNG-файл. При его открытии появляется изображение, которое призывает пользователя открыть файл в MS Paint’е и пересохранить его в формате HTA.

Оригинальная PNG-картинка

Мне это показалось довольно подозрительным, так как HTA-файл может выполнять деструктивную деятельность. Этот формат фактически не отличается от HTML, за исключением того, что последний работает в контексте браузера, а HTA – в контексте отдельного приложения.

Первым делом, для разбора исходной картинки, я решил её распаковать, так как все PNG-файлы упакованы алгоритмом deflate. На выходе мною было получено неупакованное BMP-изображение. Открыв его в Hiew, я сразу же понял замысел злоумышленников. Практически сразу за BMP-заголовком располагается скрипт, написанный на JavaScript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически запустит скрипт.

Фрагмент оригинального PNG-файла, преобразованного в BMP

Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, что довольно стандартно. А затем он обращается к разделу “random” популярного портала 4chan.org, выдёргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова.

В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. На скриншотах представлены фрагменты кода, отвечающего за использование обоих методов.

Фрагменты скрипта, отвечающего за обход механизма CAPTCHA

В итоге полный цикл работы зловреда выглядит следующим образом: добавление HTA-файла в автозагрузку, генерация новой картинки и, наконец, публикация поста, содержащего сгенерированное изображение, на форуме. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не несёт, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода.

Недавно я наткнулся на подозрительный pdf-файл и решил его исследовать. После распаковки был получен xml–файл с TIFF-изображением. Однако выглядело оно очень странно. Выяснилось, что xml–файл содержит эксплойт, который эксплуатирует уязвимость CVE-2010-0188.

Мне показалось странным, что раньше подобного рода файлы почти не встречались, и я решил запросить статистику по срабатыванию данной уязвимости.

Статистика по срабатыванию уязвимости CVE-2010-0188

Сегодня коллега прислал мне в ICQ ссылку, которую он получил от неизвестного пользователя. Исходя из адреса http://vk-spy.*****togo.ru я предположил, что по ней располагается что–то нехорошее.

Так и оказалось – ссылка ведет на сайт, на котором предлагается прочитать личные сообщения любого пользователя сети ВКонтакте. Я указал ID своего собственного аккаунта. После этого в течение некоторого времени я наблюдал некую активность, имитирующую сбор моих сообщений. Для пущей убедительности на основе выбранного ID на сайт подгружается информация из социальной сети об аккаунте пользователя, в том числе его (в данном случае моя) фотография. Через некоторое время я получил предложение скачать архив с собранной информацией. Что я и сделал.

Предложение скачать архив сообщений пользователя ВКонтакте на сайте http://vk-spy.*****togo.ru

Сегодня, просматривая новости своего аккаунта в VKontakte, я наткнулся на группу с интригующим для выпускников школ и абитуриентов названием – «ЕГЭ 2010. У Вас есть отличная возможность поступить в ВУЗ на бюджетной основе». Это название мне показалось подозрительным, и я решил проверить содержимое группы лично.