Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szkodliwe oprogramowanie w chmurze

Vicente Diaz
Kaspersky Lab Expert
Dodany 27 grudnia 2010, 09:44 CET

Wykorzystywanie wszelkiego rodzaju usług w chmurze staje się coraz popularniejsze. Zwiększają one wydajność i redukują potrzebę instalowania złożonej infrastruktury. Branża IT stopniowo adoptuje to podejście. Jednak szkodliwe oprogramowanie reaguje szybciej, wykorzystując tą wirtualną infrastrukturę dla własnych korzyści.

Wiele przykładów mogliśmy zobaczyć już w przeszłości: wykorzystanie Twittera jako kanału komunikacyjnego dla botnetu, wykorzystanie Amazon EC2 do hostingu centrów kontroli czy wykorzystanie kanałów reklamowych do dystrybucji szkodliwego oprogramowania. Dzisiaj na przykładzie jednej próbki zobaczymy, jak szkodliwe oprogramowanie maksymalizuje swoje dochody przy użyciu tego rodzaju usług, wywierając minimalny wpływ na komputer ofiary.

Nasza próbka należy do rodziny Trojan-Dropper.Win32.Drooptroop, która posiada ponad 7000 wariantów. Próbka jest wykrywana przez Kaspersky Internet Security jako Trojan-Dropper.Win32.Drooptroop.jpa. Szczyt jej aktywności przypadł na 6 grudnia, a skutki zostały odczute głównie w Stanach Zjednoczonych.

Trojan jest rozprzestrzeniany poprzez wiadomość e-mail z odsyłaczem do pliku Rapidshare:

hxxp://rapidshare.com/files/4XXXXXXX0/gift.exe

Nazwa pliku binarnego wykorzystuje atmosferę świąt i brzmi gift.exe. Mimo że plik ten wydaje się podejrzany, większość filtrów nie wykrywa go jako szkodliwy z dwóch powodów: plik binarny nie znajduje się w treści wiadomości, a domena URL jest legalna. Wykryliśmy ponad 1000 infekcji, w których do dystrybucji tej próbki wykorzystano właśnie tę technikę.

Jednak nie jest to jedyny raz, gdy próbka ta wykorzystuje zewnętrzną infrastrukturę. Gdy komputer zostanie zainfekowany, Drooptroop.jpa wstrzykuje kod do spoolsv.exe i przechwytuje funkcje sieciowe przeglądarki, co pozwala porywać żądania użytkownika.

W ten sposób Drooptroop wykonuje nieuczciwe kliknięcia (click fraud), przekierowując legalne żądania:

GET /click.php?c=eNXXXXXSA HTTP/1.1

Host: 64.111.xxx.xxx

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3

Accept: text/html,applicationxhtml+xml,applicationxml;q=0.9,*/*;q=0.8

Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 115

Connection: keep-alive

Referer: hxxp://wwwxxx.com/go/beXXXX4

Takie programy są regularnie wykorzystywane przez szkodliwe oprogramowanie. Oprócz tego, szkodnik przekierowuje użytkownika na strony fałszywych programów antywirusowych:

Interesujące jest to, w jaki sposób wszystko jest wyświetlane w przeglądarce. Wszystko to wysoce zaciemniony javascript symulujący explorera, tak by dalsze pliki binarne zostały pobrane na komputer w fazie straszenia.

W tym momencie chcesz prawdopodobnie uruchomić Kaspersky Internet Security, żeby wyczyścić swój komputer.

Podsumowując, w dystrybucji wykorzystano usługę zdalnego współdzielenia plików, szkodnik wykorzystywał nieuczciwe kliknięcia, a fałszywy antywirus działał w przeglądarce. Jednak szkodliwy program musiał najpierw zainfekować twój komputer, nie zapominaj więc o zabezpieczeniu się.