Mediyes — дроппер с валидной подписью

На днях мы обнаружили вредоносную программу, подписанную валидной подписью. Зловред представляет собой 32-х или 64-х битный дроппер, ЛК детектирует его как Trojan-Dropper.Win32.Mediyes или Trojan-Dropper.Win64.Mediyes соответственно.

В настоящее время обнаружено множество файлов дропперов, подписанных в разное время — начиная с декабря 2011 года до 7 марта 2012 года. Во всех случаях был использован сертификат, выданный швейцарской компании “Conpavi AG”. Эта компания работает с государственными органами Швейцарии — муниципалитетами, кантонами и т.д.

Информация о цифровой подписи Trojan-Dropper.Win32.Mediyes

Конкретного источника распространения Trojan-Dropper.Win32/Win64.Mediyes мы пока не знаем, но есть основания полагать, что он устанавливается на компьютеры пользователей с помощью эксплойтов.

32-битный дроппер записывает в системную папку с драйверами свой 32-битный драйвер, название которого начинается с “HID”, после чего удаляет себя из системы. Отметим, что сам драйвер не подписан, однако это не мешает ему успешно функционировать под 32-битными операционными системами Windows. Драйвер несет в себе динамическую библиотеку, которую записывает в системную папку под именем, начинающимся с “PNG”. Основной функционал драйвера — внедрить библиотеку в интернет-браузер. Кроме того, драйвер скрывает компоненты Mediyes на диске.

64-битный дроппер не несет драйвера и сразу внедряет библиотеку в браузер.

Вредоносная библиотека детектируется ЛК как Trojan.Win32.Mediyes, а драйвер как Rootkit.Win32.Mediyes.

После запуска библиотека проверяет, под каким браузером она запущена, а затем начинает перехватывать запросы браузера к поисковым системам Google, Yahoo и Bing. Все запросы она дублирует на сервер злоумышленников, расположенный в Германии. Поисковые запросы пользователей мошенники используют для заработка в партнерской программе Search123 по схеме Pay-Per-Click (PPC). Получив запрос пользователя, сервер злоумышленников отвечает на него ссылками системы Search123, по которым происходят клики в скрытом от пользователя режиме. Таким образом, мошенники получают деньги за фальшивые клики.

Описание партнерской программы Search123

По данным KSN вредоносная библиотека Trojan.Win32.Mediyes была обнаружена примерно у 5000 уникальных пользователей, преимущественно в западной Европе — в Германии, Швейцарии, Швеции, Франции и Италии.

География распространения Trojan.Win32.Mediyes

Очевидно, вредоносная программа нацелена именно на западноевропейских пользователей. Это подтверждают и другие данные — сертификат швейцарской компании, немецкий сервер, перехват запросов только к международным поисковым системам.

Мы сообщили компании VeriSign об угрозе и попросили отозвать скомпрометированные сертификаты.