Лаборатория PandaLabs компании Panda Software сообщает об усложненной "цепной" атаке, выполняемой с помощью недавно обнаруженного троянца SpamNet.A. Троянец был обнаружен на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру "дерева" для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.
Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц. Что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц:
Когда открывается первая из двух страниц, она в свою очередь открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере.
При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Другие шесть файлов следующие:
- Первые два – бинарно-идентичные копии троянца Downloader.DQY, и оба создают в операционной системе файл под названием svchost.exe, который в действительности является троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается скачать и запустить файлы с четырех различных веб-адресов, два из которых были недоступны на время написания, и другие два это:
1. Троянец Multidropper.ARW
2. Троянец Sapilayr.A
- Третий из шестерки файлов - рекламная программа Adware/SpySheriff
- Четвертый - троянец Downloader.DYB, который пытается определить ID компьютера. Если компьютер находится в Великобритании, он скачивает и запускает дозвонщика Dialer.CHG. Если он не в Великобритании, он скачивает другой файл, идентифицированный как Dialer.CBZ. Эти типы файлов перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера.
- Пятый файл - Downloader.CRY, создает два файла. Первый из них svchost.exe, создается в c:windowssystem. Второй был идентифицирован как Lowzones.FO.
- Шестой, Downloader.EBY, создает, в свою очередь, другие шесть файлов:
1. Первый из них - троянец Downloader.DLH, который использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. На время написания, им было собрано 3 миллиона адресов.
2. Второй, троянец Agent.EY, устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях.
3. Третий файл, Clicker.HA, ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд.
4. Четвертый файл - дозвонщик Dialer.CBZ
5. Пятый – рекламная программа Adware/Adsmart
6. Шестой - троянец Downloader.DSV скачивает backdoor-троянца Galapoper.C с определенного адреса. Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое Интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки, и даже может содержать другие инструкции или обновления для Galapoper.C.
Galapoper.C также создает основной и два вторичных процесса: с помощью первого он периодически проверяет доступность контента на трех страницах, упомянутых выше. Он использует вторичные для рассылки спама (с зараженного компьютера) и компиляции информации с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений, каждые 10 минут или 70 тысяч спамовых писем.
Вторая страница перенаправляет пользователя на другую, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает новую страницу, используя HTML тэг – эта страница была недоступна на время написания статьи.
Она также открывает другую страницу, чей код маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.
Сложность этой атаки беспрецедентна.
Чтобы предотвратить заражение SpamNet.A или другим вредоносных кодом, пользователям рекомендуется регулярно обновлять свои решения безопасности.