Как выяснили специалисты Symantec, код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке System. Затем исполняемый файл себя удаляет. Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение, в свою очередь, используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL, пояснили в Symantec. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4, особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту — "черному ящику" (например, ThreatExpert). Вирус также производит проверку наличия определенных драйверов системы, которые ассоциируются с режимом виртуальной машины. Примечательно, что большинство подпрограмм проверок/определения карантина используются в качестве защитных механизмов, позволяющих вирусу замаскироваться либо помешать анализу. Однако в данном случае, несмотря на наличие карантина, вирус не прекращает выполнения действий, а наоборот — производит определенные действия, например, запрос сайтов (эти действия ассоциированы с Adware.Eorezo). Как полагают специалисты Symantec, вирус, возможно, использует рекламное программное обеспечение в качестве ложного объекта, отвлекающего на себя внимание, благодаря которому вирус может получить категорию угрозы невысокого уровня и будет пропущен, избежав таким образом анализа. При выполнении действий вирус запрашивает значения времени создания папок System и System Volume Information для создания уникального значения — та же самая операция, выполнявшаяся при установке трояна. Затем код использует уникальное значение для расшифровки главного ключа шифрования, который используется для расшифровки и выполнения основного содержания трояна. Затем троян шифрует собранную информацию и отправляет её атакующему в закодированном виде — имени файла запроса HTTP GET. Запрошенный файл, возвращаемый сервером, является зашифрованным вирусным кодом. Один из созданных файлов данного вируса представляет собой исполняемый файл, идентифицируемый как Aware.Eorezo. Файл имеет цифровую подпись, использующую сертификат, выданный компании Agence Exclusive. Срок действия сертификата истек в январе 2012 г., поэтому верификация цифровой подписи завершается ошибкой. На данный момент специалистам Symantec не удалось подтвердить существование компании Agence Exclusive, что указывает на то, что это несуществующая компания либо компания, прекратившая свою деятельность. Исполняемый файл создан с единственной целью: расшифровка адреса URL и запуск выполнения команды ShellExecute, запускающей, в свою очередь, браузер для открытия расшифрованного адреса URL (ads.alpha[УДАЛЕНО]). С этого домена происходит перенаправление трафика на другой рекламный адрес URL, с которого происходит перенаправление на следующий рекламный адрес URL; в конце браузер открывает случайный сайт. В процессе исследования в конце цепочки перенаправлений наблюдались различные французские сайты. На этапе заражения происходит создание файла с расширением .spl. Данный файл, хотя и выглядит как обычный файл задания на печать, на самом деле является исполняемым файлом, определяющимся как файл Adware.Eorezo. В зависимости от конфигурации любые файлы в этой папке, в том числе и бинарные, запускают задания на печать. Это и объясняет сообщения о неожиданных распечатках, происходивших в зараженных сетях, отметили в Symantec. По мнению экспертов компании, испорченная бумага, скорее всего, является побочным эффектом заражения, нежели осмысленной целью авторов вируса. Специалисты Symantec продолжают анализ новых случаев заражения данным вирусом и проводят обновление средств защиты. Недавно также стало известно, что SANS разместила дополнительную информацию о новом варианте Trojan.Milcenso. Этот вариант модифицирован мусорным заполнителем в исполняемом файле, что призвано затруднить его определение. Таким образом, авторы угрозы продолжают работать над распространением своего вируса. В настоящее время Symantec представляет следующие сигнатуры для антивирусного ПО, предназначенные для определения файлов, ассоциированных с этим вирусом: Trojan.Milicenso; Adware.Eorezo; Packed.Generic.371; Packed.Generic.372.
|