Airtube – мнимый «взломщик» «ВКонтакте» на базе Adobe AIR

Недавно в нашу антивирусную лабораторию попал образец вредоносного ПО, написанный на ActionScript с использованием кроссплатформенной среды для запуска приложений – Adobe AIR.

Инсталляционный пакет зловреда состоял из:

• SWF-файла, в котором был сосредоточен основной функционал зловреда
• runtime библиотек, входящих в состав AIR SDK
• исполняемого файла, который обеспечивал взаимодействие между SWF-файлом и операционной системой, используя runtime библиотеки

Исследование показало, что обнаруженное вредоносное ПО обладает функционалом бэкдора, а полученные в ходе анализа дополнительные компоненты зловреда предназначались для проведения DDoS-атак. Антивирусные решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно.

Распространение зловреда

Вредоносная программа распространяется с использованием файлообменных сервисов, маскируясь под различные приложения: очередное обновление для браузера, бесплатная компьютерная игра и т.д.

Так, в одном из выявленных случаев зловред был выложен на файлообменном ресурсе rghost.ru под видом программы для взлома популярной социальной сети «ВКонтакте». Причем в комментариях к выложенному файлу злоумышленники провели небольшую рекламную кампанию возможностей «взломщика», чтобы убедить пользователей в безобидности и эффективности приложения, а заодно заглушить голоса критиков, которые уже поняли, что в выложенном файле скрывается зловред.

Можно предположить, что ссылка на выложенный файл распространялась по каналам внутри социальной сети и предназначалась пользователям, интересующимся чужой личной перепиской.  Т.е. автору (или авторам) данного вредоносного ПО не пришлось прикладывать много усилий для его распространения.

Содержимое инсталлятора

Я решил представить себя в образе любопытного пользователя и скачал вредоносный файл VKCrаsh.exe. Он оказался инсталлятором и даже имел графический интерфейс, изготовленный при помощи специализированной легитимной программы.

После завершения установки зловред создал в директории «Program Files» папку «Взлом ВКонтакте», содержащую файлы Uninstall.exe и Uninstall.ini

Данные файлы не несут никакой полезной нагрузки и нужны только для усыпления бдительности жертвы. Если запустить файл Uninstall.exe, папка «Взлом ВКонтакте» будет удалена вместе со всем содержимым, однако зловред останется в системе.

Вредоносные файлы приложения VKCrаsh.exe размещаются в папке «svchost», которую оно создает в системной директории «Windows».

Внутрь папки «svchost» зловред копирует несколько файлов и папок, содержимое которых стоит рассмотреть подробнее. В папке «Adobe AIR» содержатся runtime библиотеки, входящие в состав AIR SDK. В папке «META-INF» содержатся различные мета-данные, такие как файл дескриптора приложения. Данный файл представляет собой документ в формате XML, который определяет основные свойства приложения:

В файле main.swf реализован весь вредоносный функционал приложения. Тогда как файл svchostUpdate.exe, наоборот, не несет никакой «полезной» нагрузки и необходим лишь для взаимодействия main.swf с системой. Это стандартный файл, который получается в результате компиляции проекта в Adobe AIR. Он является своеобразным интерпретатором и выполняет следующие действия:

1. Проверяет наличие runtime библиотек.
2. Проверяет наличие файла дескриптора приложения и читает информацию из него
3. Считывает данные из файла main.swf и реализует заложенную в нем логику, используя необходимые runtime библиотеки

Иными словами, если бы main.swf содержал в себе функционал по выводу окна с надписью «Hello, World!», то после запуска svchostUpdate.exe у нас бы выводилось именно это окно.

После завершения установки VKCrаsh.exe в скрытом режиме запускается процесс svchostUpdate. Он скачивает с сервера злоумышленников файл update.xml, в котором содержится список дополнительных компонентов, предназначенных для проведения DDoS-атак. Еще раз замечу, что данный функционал заложен в файле main.swf:

Ниже приведены фрагмент файла update.xml и лог сетевых запросов svchostUpdate

Скачанные svchostUpdate компоненты хранятся в папке «result».

При помощи Kaspersky Security Network удалось установить основные адреса, с которых происходило скачивание вредоносных файлов:

• mrkira.ru/ddosUpdate/
• iddos.ru/ddosUpdate/
• badplayers.ru/ddosUpdate/
• serwow.ru/ddosUpdate/
• zigyn.ru/ddosUpdate/

Анализ SWF

В результате в моем распоряжении оказалось несколько файлов, и в первую очередь меня заинтересовали два SWF-файла: main.swf и ddos.swf.

Файл main.swf детектируется продуктами «Лаборатории Касперского» как Backdoor.SWF.Airtube.a, он отвечает за обновление компонентов и получение команд от C&C сервера:

Файл ddos.swf детектируется продуктами «Лаборатории Касперского» как Trojan-DDos.SWF.Airtube.a, в нем реализован функционал DDoS-атаки на нужный ресурс и увеличения количества просмотров видео на сервисе YouTube. Ссылку на ролик, просмотры которого нужно «накрутить», адрес сайта-мишени и другую информацию Trojan-DDos.SWF.Airtube.a получает с C&C сервера злоумышленников в виде файла upload.php.

Функция, отвечающая за загрузку upload.php

Функция, отвечающая за «накрутку» просмотров

Функция, отвечающая за проведение DDoS-атак

Расположенный в той же папке result файл svchost.exe маскируется под одноименный системный файл, работает в паре с ddos.swf и, так же как и svchostUpdate.exe, сам по себе не является вредоносным.

Заключение

Хочется обратить внимание на то, что приложения, написанные с использованием AIR, могут быть запущены на нескольких платформах, для которых Adobe или её партнеры поставляют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android.

На данный момент нам удалось зарегистрировать наличие вышеописанного зловреда только для Windows, но существует реальная опасность создания идентичных по функционалу версий вредоносного ПО, предназначенных для других платформ. В итоге, в распоряжении хозяев зловредов Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a может оказаться мультиплатформенный ботнет.

Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем использовать современное антивирусное ПО и держать его базы и программные модули в актуальном состоянии. Также рекомендуем игнорировать ссылки, присланные неизвестными пользователями, и, по возможности, скачивать файлы только с доверенных ресурсов.