Właśnie natrafiłem na podejrzany plik PDF, postanowiłem więc przyjrzeć mu się uważniej. Po rozpakowaniu uzyskałem plik xml z obrazem TIFF. Jednak cała sprawa wyglądała bardzo podejrzanie, a na koniec okazało się, że plik xml zawierał exploita wykorzystujący lukę CVE-2010-0188.

Zdziwiło mnie, że nie natknęliśmy się na te pliki wcześniej, więc postanowiłem przyjrzeć się statystykom dotyczącym luki CVE-2010-0188.

Statystyki dla exploita wykorzystującego lukę CVE-2010-0188 dla 2010 r.

Z wykresu wynika, że szkodliwe oprogramowanie wykorzystujące lukę CVE=2010-0188 zaczęło się aktywnie rozprzestrzeniać pod koniec czerwca. Do tego czasu było raczej mało rozpowszechnione. Być może twórcy wirusów potrzebowali kilku miesięcy, aby stworzyć exploity dla nowej luki w produkcie Adobe – kto wie?

Po bliższym przyjrzeniu się okazało się, że głównym celem PDF-a było pobranie i uruchomienie kolejnego pliku - Trojan-Dropper.Win32.Zbot.cm - którego celem było ukradkowe instalowanie w systemie Zbota (ZeuSa) i zwalczanie oprogramowania antywirusowego.

Zdołałem uzyskać ostateczny przykład Zbota, okazało się jednak, że był zaszyfrowany i zaciemniony. Następnie uzyskałem jego zrzut i odszyfrowane ciągi, które zawierały wyraźny odsyłacz do atakowanej strony banku, żądania http bota oraz niektóre polecenia wykorzystywane przez centrum kontroli botnetu:

Część odszyfrowanego pliku Zbota

Jest to pierwszy przykład zaszyfrowanego warianta Zbota rozprzestrzeniającego się za pośrednictwem luki CVE-2010-0188. Najwyraźniej osoby stojące za tym programem nie spoczęły na laurach i pracują nad nowymi metodami dostarczania swojego szkodnika użytkownikom.

Do tej pory w naszej historii w odcinkach o robaku Stuxnet skupiliśmy się na głównej kwestii: jest nią zagrożenie, jakie stanowi luka zero-day w przetwarzaniu plików LNK, oraz fakt, że cyberprzestępcom w jakiś sposób udało się uzyskać dostęp do certyfikatów cyfrowych. Jednak nie przyjrzeliśmy się jeszcze funkcjonalności robaka.

Każdy, kto śledzi tę historię, prawdopodobnie przeczytał już, w jaki sposób Stuxnet, poza rozmnażaniem się, próbuje uzyskać dostęp do systemów przemysłowych działających pod kontrolą WinCC firmy Siemens.

Nie pamiętam już, który dziennikarz czy analityk antywirusowy po raz pierwszy wspomniał o elektrowniach (z których niektóre z pewnością posiadają WinCC) w związku z robakiem Stuxnet. Od tego czasu cała historia nabrała cech filmu rodem z Hollywood. Pojawiły się szemrania o „atakach na przemysł” i „międzyrządowym szpiegostwie”.

Stuxnet próbuje połączyć się z systemem SCADA do wizualizacji WinCC przy użyciu hasła domyślnego firmy Siemens. Częścią robaka jest bardzo interesujący komponent, dll, który pełni rolę opakowania dla oryginalnego dll firmy Siemens. To właśnie to opakowanie próbuje połączyć się z WinCC, przekierowując większość funkcji do oryginalnego dll, oraz emulując pozostałe funkcje.

Są to następujące funkcje:

s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

Moduł ten zawiera również kilka zaszyfrowanych bloków danych – poniżej przykład zaszyfrowanego bloku:

Siemens prowadzi obecnie własne dochodzenia i analizę tego szkodliwego oprogramowania. Firma opublikowała oficjalne informacje opisujące jeden potwierdzony przypadek infekcji klienta WinCC w Niemczech.

W raporcie tym czytamy:

„Obecnie znany jest tylko jeden przypadek infekcji komputera z WinCC, której ofiarą padł nasz klient. Wirus przeniknął środowisko inżynieryjne integratora systemowego, został jednak szybko wyeliminowany. Fabryka nie została w żaden sposób dotknięta tym incydentem”.

Istnieje tylko jeden znany przypadek infekcji w Niemczech. Obecnie próbujemy stwierdzić, czy wirus spowodował jakiekolwiek szkody”.

Siemens potwierdził również, że robak potrafi przesyłać dane produkcyjne i procesowe i próbuje ustanowić połączenie z serwerami cyberprzestępców. Na razie jednak serwery są nieaktywne.

P.S. Siemens właśnie opublikował następujące informacje:

„Obecnie wiadomo nam o dwóch przypadkach zainfekowania komputerów z WinCC na świecie. Jak dotąd fabryka jest bezpieczna”.

Kilka dni temu pisaliśmy o nowym wariancie komponentu rootkit robaka Stuxnet, który miał podpis cyfrowy nie Realtek, ale JMicron. Costin pisał o tym szczegółowo.

Temat od razu podchwyciły media - wszędzie rozpisywano się o “wykryciu nowego warianta robaka”. Jednak sytuacja nie jest tak prosta jak mogłoby się wydawać sądząc po nagłówkach.

Nie uzyskaliśmy wyraźnej odpowiedzi na główne pytanie, tj. gdzie jest robak, od którego pochodzi podpisany sterownik? Fakt, że sterownik został stworzony 14 lipca może sugerować, że nowy wariant robaka, potencjalnie z nową funkcjonalnością, znajdował się na wolności.

Jednakże wszystkie nasze wysiłki odnalezienia droppera drugiego sterownika rootkita okazały się bezowocne.

Wszystkie dyskusje prowadzone w ostatnich dniach sprowadzały się do dwóch możliwych wyjaśnień: cyberprzestępcy ukradli certyfikaty cyfrowe przy użyciu trojana lub była to robota szpiega. Jednakże fakt, że nie zdołaliśmy odnaleźć droppera ani drugiego sterownika, jeszcze bardziej komplikuje całą historię.

Postanowiliśmy przyjrzeć się statystykom: ile razy Kaspersky Security Network wykrył szkodnika o nazwie Rootkit.Win32.Stuxnet.c (sterownik podpisany certyfikatem JMicron)? Liczby są zniechęcające – od 20 lipca moduł ten został wykryty dwa razy, raz w Rosji i raz na Ukrainie. Liczba ta wygląda dość skromnie w porównaniu ze statystykami wykrywalności dla komponentu rootkita z podpisem Realtek.

Verisign cofnął certyfikat JMicron. Nasze białe listy zawierały 124 programy podpisane przy użyciu tego certyfikatu – wszystkie z nich, naturalnie, były czyste.

Nie chcę jeszcze wyciągać żadnych wniosków na temat pochodzenia tego mitycznego sterownika. Nie mam wątpliwości, że jest to zmodyfikowany wariant mrxcls.sys. Nadal staramy się wykryć, co uruchamia ten sterownik oraz zainfekowane nim komputery.

Statystyki dotyczące pierwszego warianta Stuxnet pokazują, że epidemie miały miejsce w Indiach, Iranie i Indonezji. Z samych danych pochodzących z naszych systemów monitorujących wynika, że z każdym dniem liczba zainfekowanych komputerów wzrasta o około tysiąc. Innymi słowy, jest to zaledwie wierzchołek góry lodowej.

Oprócz wymienionych wyżej trzech państw, Stuxnet w poważnym stopniu zainfekował również Azerbejdżan i Afganistan, w których wykryto ponad tysiąc zainfekowanych maszyn.

Rozkład geograficzny tego trojana, wraz z “brakującym” wariantem, dał nam dużo do myślenia.

Wakacje to czas odwiedzin przyjaciół i rodziny, wyjazdów za granicę, zajadania lodów, pracy w ogrodzie – dozwolone jest wszystko, co pozwala zrelaksować się i naładować akumulatory. Bezpieczeństwo komputerowe jest prawdopodobnie ostatnią rzeczą, jaka zaprząta twoją głowę w tym czasie, nawet jeżeli zabrałeś do domu swojego firmowego laptopa, żeby wiedzieć, co się dzieje w biurze.

Jednak jak wykazał mój kolega Christian w zeszłym roku, lato często przynosi poważne problemy związane z bezpieczeństwem. Ostatnio natrafiłem na kolejne potwierdzenie tego twierdzenia: kilka tygodni temu brałem udział w corocznej konferencji bezpieczeństwa odbywającej się w bardzo eleganckim hotelu na Cyprze. Wszystko wydawało się idealne – do momentu, gdy połączyliśmy się z hotelową siecią Wi-Fi.

Jeżeli kiedykolwiek zabrałeś swój laptop w podróż służbową lub na wakacje, znasz podstawową zasadę. Jeżeli chcesz połączyć się z Internetem za pośrednictwem sieci hotelowej, zostajesz przekierowany na stronę kontrolowaną przez ruter hotelowy. Musisz podać kod dostarczony przez hotel lub szczegóły twojej karty kredytowej – a wszystko to wprowadzasz na stronie, która może być bezpieczna lub nie.

Na Cyprze odkryliśmy, że strona, na którą zostaliśmy przekierowani, gdy próbowaliśmy uzyskać dostęp do Internetu, była zainfekowana Gumblarem. Hotel miał szczęście, że gościł ponad 30 specjalistów ds. bezpieczeństwa – gdybyśmy jednak nie urządzili tam konferencji, strona mogłaby pozostać zainfekowana jeszcze przez długi czas.

Logowanie się poprzez niezabezpieczone połączenia nie jest jedynym zagrożeniem w okresie wakacji. Gdy jesteśmy na wakacjach, zmieniają się nasze nawyki dotyczące korzystania z komputera i Internetu - rzadziej i krócej korzystamy z komputerów, praktycznie tylko po to, żeby uzyskać potrzebne informacje. Na przykład, logujemy się na dziesięć minut, żeby szybko sprawdzić skrzynkę pocztową, pobrać mapy oraz informacje o miejscach, jakie zamierzamy odwiedzić itd.

Jeżeli chcesz szybko znaleźć potrzebne informacje poprzez GPRS lub wolne łącze Wi-Fi, prawdopodobnie nie będziesz zawracał sobie głowy aktualizacją oprogramowania antywirusowego czy instalacją łat bezpieczeństwa. Możesz racjonalizować swoją decyzję, wmawiając sobie, że przecież nie odwiedzasz podejrzanych stron, na których mogą czaić się szkodliwe programy. Jednak nasze doświadczenie z Cypru świadczy o tym, że szkodliwe oprogramowanie jest wszędzie.

Lekceważenie łat bezpieczeństwa oraz aktualizacji antywirusowych podczas wakacji oznacza, że przy każdym logowaniu narażasz się na ryzyko. Gdy wrócisz do pracy po dwóch, trzech, a nawet czterech tygodniach wolnego, a przez ten czas nie używałeś swojego komputera, pierwszą rzeczą, jaką powinieneś zrobić, jest upewnienie się, że system jest całkowicie załatany, a oprogramowanie bezpieczeństwa uaktualnione. Naturalnie chcesz obejrzeć wszystkie śmieszne filmiki na YouTube, do których koledzy podesłali ci odsyłacze, gdy byłeś na urlopie. Pamiętaj jednak o aktualizacji, zanim zaczniesz sprawdzać swoją pocztę czy klikać otrzymane odnośniki i załączniki.

Niezabezpieczone sieci, zainfekowane strony internetowe, podatne na ataki programy i systemy to techniczne aspekty bezpieczeństwa IT. Pomijając jednak kwestie techniczne, wiele osób wystawia się na ryzyko własnym zachowaniem, ujawniając zbyt wiele poufnych informacji na Facebooku, Twitterze oraz w odpowiedział wysyłanych z biura. Pisanie na publicznych portalach o tym, że zamierzamy spędzić dwa tygodnie w jakimś kurorcie w egzotycznym miejscu to prawie jak otwarte zaproszenie dla włamywaczy i innych przestępców do splądrowania twojej posiadłości podczas twojej nieobecności…

Poniżej kilka wskazówek, co zrobić, aby wakacje były bezpieczniejsze

Zanim wyjedziesz

• nie ogłaszaj na portalu społecznościowym, że wyjeżdżasz na wakacje!
• upewnij się, że zainstalowałeś wszystkie najnowsze łaty bezpieczeństwa, łącznie z łatami dla takich aplikacji, jak przeglądarki, programy do chatów itd.

Gdy jesteś na wakacjach

• Upewnij się, że twój program antywirusowy jest aktualny. Nigdy nie wiadomo, co czai się w sieci.
• Używaj zdrowego rozsądku – nie podawaj danych dotyczących twojej karty kredytowej ani hasła, jeżeli nie jest to absolutnie konieczne. Zrób to tylko wtedy, gdy jesteś pewny, że sieć jest bezpieczna
• jeżeli jesteś przesadnie ostrożny, wyłącz programy, które uruchamiają się automatycznie, takie jak Skype czy MSN – z pewnością nie chciałbyś, aby ktoś ukradł twoje hasła przez niezabezpieczoną sieć.

Po powrocie

• zanim zaczniesz czytać e-maile i pracować na swoim komputerze w pracy, przeskanuj go i zainstaluj odpowiednie łaty.

Wczoraj nasi koledzy z ESETa odkryli nową wersję trojana Stuxnet, którego sterownik został podpisany przez kolejną godną zaufania firmę - JMicron Technology Corp.

JMicron jest dobrze znanym producentem sprzętu. Ja sam jestem posiadaczem trzech lub czterech różnych komputerów z komponentami JMicron wewnątrz.

Pierwszy certyfikat RT był podejrzany, jednak kolejny skradziony certyfikat rodzi interesujące pytania.

Jedna z możliwości jest taka, że zarówno JMicron jak i Realtek zostali zainfekowani trojanem, takim jak Zeus, który kradnie certyfikaty cyfrowe. Następnie, cyberprzestępcy, którzy uzyskali certyfikaty, odsprzedali je na rynku lub wykorzystali do podpisywania sterowników Stuxnet.

Szczerze mówiąc, kradzież certyfikatów cyfrowych przez trojana nie robi na mnie takiego wrażenia jak wtedy, gdy po raz pierwszy zetknąłem się z tą funkcją.

Teraz, w połączeniu z historią o Stuxnet, wszystko zaczyna nabierać sensu.

W weekend zająłem się analizowaniem luki zero-day LNK w systemie Windows, o której pisał niedawno Aleks. Luka ta została sklasyfikowana jako CVE-2010-2568 i jest aktywnie wykorzystywana na wolności.

Główny wniosek, do jakiego doszedłem, jest taki, że luka ta stanowi fundamentalną cześć sposobu, w jaki Windows obsługuje pliki LNK. To oznacza, że istnieją dwa ogromne negatywy – po pierwsze, ze względu na to, że funkcjonalność ta jest dość standardowa, coraz trudniej będzie stworzyć skuteczne wykrywanie generyczne, które nie wywołuje fałszywych trafień.

Po drugie, przypuszczam, że Microsoft będzie miał problemy z załataniem tej luki. Wygląda na to, że nie istnieje żaden model bezpieczeństwa związany ze sposobem obsługi skrótów przez Windowsa. Cała ta sytuacja przypomina mi nieco o lukach w formacie WMF.
Opublikowaliśmy generyczne wykrywanie zainfekowanych plików LNK, które próbują wykorzystywać tę funkcję. Sądzę, że format LNK zacznie cieszyć się teraz większym zainteresowaniem, zarówno wśród osób z dobrymi jak i złymi zamiarami. Zalecam zatem, abyście zapoznali się z informacjami opublikowanymi przez Microsoft. Jestem pewny, że będzie to czas dobrze spożytkowany, ponieważ spodziewam się, że luka ta będzie powszechnie wykorzystywana, zanim pojawi się odpowiednia łata.

Rozkład geograficzny infekcji trojanem Stuxnet jest równie interesujący jak sam trojan. Komponent rootkita (podpisane sterowniki) jest przez nas wykrywany jako Rootkit.Win32.Stuxnet, natomiast pozostałe pliki jako Trojan-Dropper.Win32.Stuxnet.

W ciągu czterech minionych dni KSN zidentyfikował komponenty trojana (mimo że program ten powinien w rzeczywistości być zaklasyfikowany jako robak, jako że rozprzestrzenia się za pośrednictwem nośników przenośnych) na ponad 16 000 komputerów na całym świecie. Jak pokazuje mapa, na której zaznaczono epidemię, w centrum epidemii znajdują się trzy kraje (wszystkie z nich zaczynają się na literę I!): Iran, Indie oraz Indonezja.

KSN zidentyfikował ponad 5 000 incydentów w każdym z tych trzech krajów – dla porównania, w Rosji odnotowaliśmy około 150 przypadków infekcji, natomiast w Chinach tylko 5.

Jakkolwiek wyjaśnienie tego rozkładu epidemii nie jest proste, w każdym wypadku należy wziąć pod uwagę sposób rozprzestrzeniania się trojana Stuxnet - za pośrednictwem nośników przenośnych. Nie jest to najszybsza metoda infekowania szkodliwym oprogramowaniem, z drugiej jednak strony zapewnia szkodnikowi dłuższy cykl życia (przykładem może być Sality, który rozprzestrzenia się za pośrednictwem urządzeń USB). Nie ma wątpliwości, że epidemia nie rozprzestrzeniła się poza Azję.

Czy rozkład geograficzny może w jakiś sposób pomóc nam zrozumieć, jak komponent rootkita uzyskał cyfrowy podpis?

Naturalnie, wymyślanie teorii spiskowych nie jest najlepszą rzeczą, jednak paranoja jest wpisana w zawód eksperta ds. bezpieczeństwa IT. Pozwolę sobie więc zaproponować hipotezę:

Realtek to firma produkująca sprzęt; tworzenie oprogramowania jest procesem podrzędnym, który można zoptymalizować, angażując firmy zewnętrzne. Które państwo jest światowym liderem jeśli chodzi outsourcing oprogramowania? Macie rację – Indie.

Czy outsourcer tworzący oprogramowanie dla innej firmy posiada odpowiednie zasoby, aby podpisywać programy przy użyciu certyfikatu firmy zlecającej? Z pewnością jest to możliwe.

Jedna z teorii jest taka, że szkodliwe oprogramowanie zostało stworzone w Indiach (spójrzcie na mapę). Prawdopodobnie wśród twórców aplikacji Realtek nie było „szpiega” .

Jeżeli jednak przyjmiemy tę teorię, wtedy nie wolno wykluczać, że pliki sterownika są w rzeczywistości legalnymi sterownikami stworzonymi przez Realtek. Mają funkcjonalność rootkita i ukrywają pliki lnk oraz ~WTRxxxx.tmp w katalogu głównym narzędzia do przechowywania danych. Nie oznacza to jednak, że pliki sterownika nie są legalne – pamiętacie incydent z rootkitem Sony? I szkodnika, który wykorzystywał technologię rootkit?

Teraz, gdy zbliżamy się już do końca Części 3, czas wyjaśnić jedną ważną kwestię – tytuły moich ostatnich postów.

”Mirt to rodzaj roślin z kwiatami z rodziny mirtowatych” a „Rodzina mirtowatych to rodzina roślin dwuliściennych zaliczanych do rzędu mirtowców. Należy do niego mirt, goździk, gruszla, akka sellowa, ziele angielskie oraz eukaliptus”.

Skąd to nagłe zainteresowanie botaniką? A stąd, że kod sterownika rootkita zawiera następujący ciąg:

b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb

Project “Myrtus”. Module “Guava”.

Zakończywszy część 1 w tonie botanicznym, kontynuujemy naszą analizę, skupiając się na podpisie cyfrowym trojana Stuxnet.

Szkodliwe oprogramowanie z podpisem cyfrowym spędza sen z powiek twórców oprogramowania antywirusowego. Podpisy cyfrowe są bardzo ważne – stanowią dowód na to, że aplikacja jest legalna, i są kluczową koncepcją w bezpieczeństwie informatycznym. Mają również duży wpływ na skuteczność rozwiązania bezpieczeństwa – nie jest tajemnicą, że oprogramowanie bezpieczeństwa ma „zaufanie” do plików z podpisem cyfrowym i często automatycznie umieszcza je na białej liście.

Czasami jednak cyberprzestępcom w jakiś sposób udaje się przechwycić taki podpis/certyfikat. Niedawno regularnie napotykaliśmy na takie incydenty w przypadku trojanów dla telefonów komórkowych. Po zidentyfikowaniu podobnych przypadków informujemy o tym fakcie właściwe instytucje certyfikujące, które unieważniają certyfikat.

Jednak w przypadku trojana Stuxnet, sprawa wygląda bardzo podejrzanie. Ponieważ trojan ten nie jest podpisany przy pomocy losowego podpisu cyfrowego, ale zawiera podpis Realtek Semiconductor, jednego z największych producentów sprzętu komputerowego.

Unieważnienie certyfikatu takiej firmy jest niewykonalne – gdyby do tego doszło, ogromna część oprogramowania, które zostało opublikowane przez firmę, stałaby się bezużyteczna.

Wróćmy jednak do samego trojana i przyjrzyjmy mu się na spokojnie. Stuxnet tworzy następujące dwa pliki: %SystemRoot%\system32\Drivers\: mrxcls.sys, mrxnet.sys

Pliki tych sterowników wspierają funkcjonalność rootkita trojana – ukrywają szkodliwe oprogramowanie w systemie i na zainfekowanych urządzeniach USB. To właśnie te pliki zawierają podpis cyfrowy:

Pliki zostały podpisane 25 stycznia 2010, co oznacza, że od momentu utworzenia plików do czasu, gdy trojan został po raz pierwszy wykryty na wolności, w połowie czerwca, minęło kilka miesięcy.

Jednak najważniejsze pytanie brzmi: w jaki sposób cyberprzestępcom udało się podpisać takie pliki?

Jeden z kolegów rzucił trop znanego "exploita", jednak metoda ta nie może być wykorzystywana do podpisu losowych plików.

Przejdźmy więc do strony Verisign, aby sprawdzić, czy ten certyfikat naprawdę istnieje i czy rzeczywiście został wydany.

Jak widać na zrzucie ekranu, certyfikat jest całkowicie legalny.

Jedyny szkopuł polega na tym, że certyfikat został wydany 12 czerwca 2010 roku, w tym samym dniu, w którym trojan został po raz pierwszy zidentyfikowany przez VBA.

Czy to oznacza, że podpis ten uczynił trojana „niewidocznym” dla rozwiązań antywirusowych przez kilka miesięcy? Być może.

Wszystko, o czym napisałem, wskazuje na jedno: ktoś, kto zdołał podpisać pliki sygnaturą Realtek, podpisał również trojana.

Nie skontaktowaliśmy się z Realtek w tej sprawie. Wiadomo nam, że zrobił to VBA, ale nadal nie otrzymał odpowiedzi. Z naszej strony zastosowaliśmy już zabezpieczenie przed tym zagrożeniem – przy pomocy systemu KSN postaraliśmy się, aby nasze produkty blokowały ten podpis cyfrowy.

Pozostaje jednak pytanie, czy ten trojan rzeczywiście stanowi zagrożenie. Czy jest szeroko rozpowszechniony? Odpowiedzi na te pytania mogą pomóc nam dotrzeć do sedna problemu.

Kilka dni temu koledzy z białoruskiej firmy antywirusowej VirusBlokAda (VBA) poinformowali, że natrafili na interesujący nowy szkodliwy program. Opublikowali krótką analizę tego programu, w której zwrócili uwagę na dwie innowacje:

1. wykorzystanie nieznanej dotąd metody – plików lnk do uruchomienia plików z urządzeń USB
2. zainfekowany sterownik ma ważny podpis cyfrowy z Realtek.

Warto poświęcić trochę uwagi artykułowi VBA – dobra robota, chłopcy!

W Kaspersky Lab również przyjrzeliśmy się temu szkodnikowi i wykryliśmy kilka interesujących rzeczy.

Pierwszy dotyczy sposobu rozprzestrzeniania się trojana (któremu nadaliśmy nazwę Trojan-Dropper.Win32.Stuxnet). Szkodnik ten infekuje nośniki USB, tworząc 4 pliki lnk:

Copy of Copy of Copy of Copy of Shortcut to.lnk"
– launches \\.\STORAGE#RemovableMedia#7&[ID]&0&RM#{53f5630d-b6bf-
11d0-94f2-00a0c91efb8b}\~WTR4141.tmp
"Copy of Copy of Copy of Shortcut to.lnk"
– launches \\.\STORAGE#RemovableMedia#8&[ID]&0&RM#{53f5630d-b6bf-
11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Copy of Shortcut to.lnk"
– launches\\.\STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_&Prod_
USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-
94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Shortcut to.lnk"
– launches \\.\STORAGE#Volume#_??
_USBSTOR#Disk&Ven_&Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-
94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

~WTR4141.tmp – jest głównym plikiem szkodliwego oprogramowania.

Ciągi kodu trojana odpowiedzialne za infekowanie nośników USB

Interesujące jest to, że ID w pierwszych dwóch plikach jest unikatowym numerem nadawanym urządzeniu USB przez komputer wykorzystywany do uzyskania dostępu do takiego urządzenia.

Do tej pory za automatyczne uruchamianie plików z dysku odpowiadał autorun.inf. Ta „funkcja” Windowsa spotkała się z ostrą krytyką specjalistów ds. bezpieczeństwa, ponieważ była powszechnie wykorzystywana do rozprzestrzeniania szkodliwego oprogramowania. Tego typu szkodliwe programy zaliczamy do klasy Worm.Win32.Autorun, do której należą dziesiątki tysięcy zagrożeń.

O ile jednak do szkodników autorun.inf już się przyzwyczailiśmy i nauczyliśmy się z nimi postępować, wykorzystywanie plików lnk jest prawdziwą innowacją.

Na razie nie doszliśmy jeszcze do żadnych ostatecznych wniosków – być może mamy do czynienia z nową, nieznaną jeszcze luką w zabezpieczeniach Windowsa, lub po prostu najnowszą „funkcją” firmy z Redmond. Naturalnie Microsoft został poinformowany o problemie, tak więc w ciągu kolejnych kilu dni powinniśmy wyjaśnić całą sprawę.

W ten sposób dotarliśmy do końca Części 1. W kolejnych zaprezentujemy więcej informacji o tym szkodliwym oprogramowaniu. Wtedy też wyjaśni się, dlaczego wybraliśmy taki tytuł posta. Jednak już teraz zaprzeczamy, że w wolnym czasie zajmujemy się ogrodnictwem :)

Wiele razy pisaliśmy o fałszywych programach antywirusowych, wyjaśniając, w jaki sposób przy pomocy technik Black Hat Search Engine Optimization szkodliwi użytkownicy wykorzystywali wyszukiwarki do przekierowywania internautów na fałszywe strony oprogramowania antywirusowego.

Ostatnio zauważyliśmy, że rozprzestrzeniane fałszywe oprogramowanie jest wyposażone w przycisk “Online Support”. Zobaczcie prawy górny róg:

Po kliknięciu tego przycisku użytkownik zostaje przekierowany na chat z działem pomocy technicznej fałszywego oprogramowania antywirusowego. Zastanawialiśmy się, czy mamy tu do czynienia z botem odpowiadającym na pytania na podstawie słów kluczowych czy z rzeczywistymi ludźmi – okazało się, że po drugiej stronie byli prawdziwi ludzie!

Dowiedzieliśmy się, że oferują pomoc techniczną za pośrednictwem chatu, telefonu i poczty elektronicznej. E-mail jest szczególnie przydatny dla użytkowników nie mówiących po angielsku. Poprzez chat użytkownik dowiaduje się (po angielsku), że aby uzyskać pomoc w swoim ojczystym języku, ma wysłać e-mail w tym języku, podając w nim swój adres e-mail.

Jeżeli zostałeś zainfekowany fałszywym oprogramowaniem antywirusowym podczas korzystania z wyszukiwarki (Black Hat SEO po raz kolejny) i kontaktujesz się z działem pomocy technicznej, zostaniesz zapytany, w związku z którym oprogramowaniem antywirusowym potrzebujesz pomocy.

Gdy udzielisz odpowiedzi na to pytanie, dostarczą ci „darmową wersję próbną” oprogramowania, która usunie infekcje wykryte przez pierwszy program (ich nazwy są bardzo podobne).

Wersja testowa wygląda tak:

Program ten posiada ten sam interfejs, ale trochę inną nazwę – oraz ten sam przycisk “Online support”.

Fałszywy program antywirusowy będzie wykorzystywał język twojego systemu operacyjnego. Jeżeli na przykład używasz francuskiej wersji Windows XP, interfejs fałszywego programu antywirusowego będzie w języku francuskim, dzięki czemu będzie bardziej przekonujący.

Mówiąc o tak zwanej pomocy technicznej, stwierdziliśmy, że pierwszy fałszywy program antywirusowy jest jedynie „darmowym skanerem”, podczas gdy „wersja testowa” to w pełni funkcjonalny produkt – haczyk polega na tym, że okres próbny trwa tylko jeden dzień. Ponadto, wersja próbna nie usuwa pierwszego produktu, dlatego oferują również specjalne narzędzie usuwające.

W tym przypadku jest to narzędzie do dezinstalacji. Posiadają taki dla każdego „sprzedawanego” przez siebie produktu. Rzeczywiście usuwa on fałszywe oprogramowanie antywirusowe z komputera, przynajmniej częściowo. W zależności od narzędzia usuwającego, na komputerze może pozostać kilka plików, które być może pozwolą komuś ponownie uruchomić fałszywy program antywirusowy… nigdy nie wiadomo? Po takim „czyszczeniu” komputer nie zostaje przywrócony do stanu pierwotnego, niektóre zmiany w rejestrze zostają zachowane.

Po oczyszczeniu swojego komputera, zostajesz poproszony o wypełnienie ankiety online:

Wygląda na to, że ludzie ci przywiązują dużą wagę do opinii klientów i robią wszystko, co w ich mocy, aby dostarczać najlepsze z możliwych produkty i usługi.

Rozmawiając z pomocą techniczną producentów tego fałszywego oprogramowania, spróbowałem kilka sztuczek, aby mieć pewność, że nie mam do czynienia z inteligentnym botem. Jedną z nich było poproszenie go o wykonanie bardzo prostego działania matematycznego:

Chcieliśmy zlokalizować osoby świadczące tę pomoc i stwierdziliśmy, że najprawdopodobnie mieszkają na Ukrainie.

W czasie gdy upewnialiśmy się, czy osoby świadczące pomoc techniczną, nie są botami, przyszedł nam do głowy śmieszny trop.

Zacząłem prosić o załączenie uśmieszka, abym mógł się przekonać, że osoba, z którą rozmawiam, jest prawdziwa, a nie bot:

Wiedziałem, że będą używali zwykłych uśmieszków, więc poprosiłem o długi i zaraz wytłumaczę wam dlaczego.

Rozmawiając z moimi kolegami z Kaspersky Lab, stwierdziłem, że w Rosji (a także na portalach społecznościowych na Ukrainie) wielu czatujących „tworzy” uśmieszki bez oczu “:”. Jest to zachowanie, z którym nigdzie indziej nie spotkałem się. Zasadniczo, w przypadku długiego uśmieszku, należy spodziewać się czegoś takiego “:))))”, jednak w tych państwach oczy są usuwane i powstaje coś takiego “))))”. To potwierdzałoby naszą hipotezę o lokalizacji tych ludzi:

“))))” jest długim uśmieszkiem, o jaki poprosiłem. Zabawne, że uśmieszek nie ma oczu – dokładnie tak, jak spodziewałem się. To tylko potwierdza nasze przypuszczenia.

Podsumowanie

Zadzwoniłem do ich działu pomocy o godzinie 4 nad ranem. Uzyskałem odpowiedzi na moje pytania, co potwierdza, że pomoc świadczona jest rzeczywiście w trybie 24/7. Oferują pomoc za pośrednictwem poczty e-mail, chatu oraz telefonu i są przy tym bardzo dobrze zorganizowani. Można uzyskać narzędzia do dezinstalacji dla starszych wersji produktu oraz wersję testową ich nowszych produktów.

W przeciwieństwie do poprzednich, nowsze produkty „czyszczą” maszynę. Postanowiłem nagrać kilka sesji i udostępnić je tutaj.