Artykuły dotyczące tematu: PDF

dodany: 04.07.2013 | tagi: , , , , ,

Stary malware w nowej odsłonie

0

Kto powiedział, że nie można nauczyć starego oprogramowania nowych sztuczek? Niedawno pojawiły się informacje o swego rodzaju powrocie malware’u ZBOT. Wkrótce potem media przekazały wiadomość, że ZBOT rozprzestrzenia się za pośrednictwem Facebooka. A teraz okazuje się, że istnieje całkiem nowa wersja tego programu, która potrafi rozprzestrzeniać się w pełni samodzielnie.

„Niecodzienne zachowanie malware’u ZBOT potwierdza prognozy Trend Micro na 2013 rok, w których przewidziano, że stare zagrożenia pojawią się w nowych, udoskonalonych i skuteczniejszych postaciach” – mówi Rik Ferguson, Global VP Security Research w Trend Micro.

Ta konkretna odmiana ZBOT-a ukryta jest w zarażonym pliku PDF, który dla niepoznaki zawiera fakturę sprzedaży. Jeśli użytkownik otworzy plik za pomocą programu Adobe Reader, uruchomiona zastaje procedura, w wyniku której na ekranie wyświetla się okienko pop-up.

W tym momencie złośliwy wariant ZBOT – WORM_ZBOT.GJ – dostaje się do systemu i zostaje uruchomiony. Istnieje kilka dość istotnych różnic w porównaniu do poprzedniej wersji tego malware’u.

Po pierwsze, WORM_ZBOT.GJ posiada funkcję automatycznej aktualizacji: potrafi pobrać i uruchomić zaktualizowaną kopię samego siebie. Po drugie, może z łatwością rozprzestrzeniać się na inne systemy za pośrednictwem pamięci przenośnych, np. pendrive’ów. Dokonuje tego wyszukując dyski wymienne, a następnie tworząc w nich ukryty katalog z własną kopią oraz skrót odsyłający do ZBOT – a.

Ten rodzaj rozprzestrzeniania jest dość nietypowy. ZBOT wędruje zazwyczaj za pośrednictwem oprogramowania typu exploit kit lub zainfekowanych załączników. Tymczasem zdolność do samodzielnego rozpowszechniania jest w przypadku tego programu sporą niespodzianką. Może to oznaczać dalszy wzrost liczby systemów zarażonych tym malwarem.

Tego rodzaju przykłady pokazują, w jaki sposób zmienia się obszar oprogramowania crimeware. To konkretne zagrożenie zostało już opisane przez ekspertów Trend Micro w artykule zatytułowanym The Crimeware Evolution. Wykorzystywanie dysków wymiennych czy automatyczna aktualizacja do rozpowszechniania się nie jest nową ani innowacyjną cechą, ponieważ wiele złośliwych programów korzystało już z tych funkcji. W szczególności warto tu wspomnieć o Conficker/DOWNAD, który obu tych strategii używał bardzo skutecznie i który do dziś pozostaje dużym zagrożeniem. Mimo że ma już parę dobrych lat, został umieszczony na liście 10 najbardziej niebezpiecznych złośliwych programów w obu Amerykach i rejonie Morza Karaibskiego w 2012 roku.

Trend Micro chroni użytkowników poprzez wykrywanie WORM_ZBOT.GJ i blokowanie witryn powiązanych z tym zagrożeniem.

Więcej informacji dotyczących aktualnych zagrożeń znajduje się na blogu Trend Micro.

Źródło: Trend Micro

dodany: 20.03.2013 | tagi: , ,

Ostrożnie z otwieraniem faktur 21 marca!

30

4 marca laboratoria Kaspersky Lab odnotowały dużą liczbę nietypowych e-maili zablokowanych przez nasz produkt Linux Mail Security. Wszystkie e-maile zawierały ten sam załącznik PDF (MD5: 97b720519aefa00da58026f03d818251), ale były wysyłane z wielu różnych adresów źródłowych.

Wiadomości te były napisane w języku niemieckim i w większości zostały wysłane z niemieckich adresów IP. Poniżej znajduje się mapa pokazująca rozkład adresów:

Mapa fałszywych e-maili

 

Nazwy komputerów wymieniane w nagłówkach e-mail często miały formę Andreas-PC lub Kerstin-Laptop (imiona zostały zmienione dla ochrony ofiar) sugerując, że zostały wysłane z niemieckich komputerów domowych.

Poniżej znajduje się przykładowy e-mail:

przykładowy e-mail

Nazwy załączników PDF miały formę: „Mahnung recipents name.pdf” (Mahnung oznacza ‚przypomnienie’ lub ‚powiadomienie o opóźnieniu w płatności’), a wykorzystywanym exploitem był CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). PDF został zablokowany przez Kaspersky ZETA Shield i jest wykrywany jako Exploit.JS.CVE-2010-0188.e. Exploit nie jest łatwy do wykrycia, ponieważ ukrywa się pod dwiema warstwami JavaScript.

 

Pierwsza warstwa Javascript

Pierwsza warstwa Javascript.

 

Druga warstwa Javascript

Druga warstwa Javascript.

 

Odszyfrowany Shellcode

Odszyfrowany Shellcode.

Druga warstwa wygląda bardzo podobnie do kodu JavaScript, jaki widzieliśmy w kilku próbkach zestawu exploitów BlackHole z zeszłego roku. Jeżeli exploitowi powiedzie się, pobierze plik wykonywalny z seodirect-proxy.com/adobe-update.exe.

Pobrane szkodliwe oprogramowanie (MD5: 3772e3c2945e472247241ac27fbf5a16) jest wykrywane przez Kaspersky Lab jako Trojan.Win32.Yakes.cngh. Zawiera różne włoskie ciągi znaków („lastoriasiamo”, „famiglia”, „badalamenti”, „impastato”), które mogą mieć związek z Mafią. Zawiera również następujące informacje o wersji:

BTP to prawdopodobnie obligacje włoskiego rządu, Bund to obligacje niemieckiego rządu, natomiast „Spread BTP/Bund” to sposób porównania różnicy między dochodami.

Gdy szkodliwe oprogramowanie działa, wyświetla następujący komunikat o błędzie:

Następnie instaluje się w folderze tymczasowym z losową nazwą (np. vlsnekunrn.pre) i próbuje skontaktować się z zeouk-gt.com.

 

Przeszłość

Przeglądając wcześniejsze informacje zwrotne analitycy Kaspersky Lab dostrzegli podobne schematy w dniach 4 i 21 kilku miesięcy.

 

Luty 2013

21 lutego zablokowaliśmy ogromną liczbę e-maili zawierających bardzo podobny załącznik PDF. Tym razem w nazwach załączników znajdował się wyraz „Rechnung” (co oznacza ‚faktura’) oraz data (np. Rechnung_201302.pdf oraz 2013_02rechnung.pdf). Nadawcy pochodzili z bardzo różnych państw, w tym z Afryki Południowej, Stanów Zjednoczonych, Australii i Japonii. Tym razem nazwy komputerów wymieniane w nagłówkach e-maili wyglądały na wygenerowane losowo (np. ydopsgf i bxahwdkw) i – co ciekawe – nagłówki zawierały również odwołanie do domeny zeus3.hostwaycloud.com.

Odszyfrowany JavaScript dla tego exploita był prawie identyczny z próbką powyżej, jednak szkodliwe oprogramowanie było pobierane z kilku adresów URL:

allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe

corcagnani.de/host.exe

kkc-hannover.de/modules/mod_search/helper.exe

capital-success.de/pg/helper.exe

 

Styczeń 2013

4 stycznia próbka miała nazwę Rechnung201301.pdf, a szkodnik był pobierany z następujących adresów URL:

kohnle-gros.de/css/styleneu.exe

fairdealshop.co.uk/modules/mod_newsflash/helper.exe

emct.org.uk/downloads/server-stats.exe

Listopad 2012

21 listopada próbka miała nazwę RECHNUNG000201211.pdf i pobierała szkodnika z:

rocketmou.se/stuff/corduroyshop/corduroyshop.exe

coachplay.co.il/mapa/images/mapa.exe

 

Przyszłość

Wygląda na to, że jest to bardzo dobrze przemyślana kampania i nie zanosi się na jej koniec. Dlatego, jeżeli otrzymasz fakturę 21 marca lub 4 kwietnia, zachowaj szczególną ostrożność. Z drugiej strony, autorzy mogą zmienić datę faktury, dlatego lepiej mieć się na baczności przez cały czas.