«Цепная» атака

Тот факт, что, движимые стремлением к наживе, спамеры совершенствуются и усложняют свои технологии, новостью не является. На днях Panda Software рассказала об организованной атаке, основной целью которой является рассылка спама. Эту атаку компания охарактеризовала как «беспрецедентную» и «одну из наиболее сложных организованных атак в истории».

У экспертов Panda Software для такой оценки были веские основания: в ходе «цепной» атаки, выполняемой с помощью троянца SpamNet.A, на компьютеры пользователей внедряется до 19 видов вредоносного ПО, включая троянцев, backdoor-троянцев, программы-дозвонщики и рекламное ПО. К 15 августа троянцем было собрано более 3 миллионов электронных адресов по всему миру.

По информации PandaLabs, троянец SpamNet.A обнаружен на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным в Москве. Атака отличается высокой сложностью и использует структуру «дерева».

Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для открытия двух новых страниц.

Первая из двух страниц после открытия, в свою очередь, открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым.

Они также открывают седьмую страницу, которая и начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них на компьютере устанавливается и запускается один из двух идентичных файлов (Web.exe или Win32.exe).

При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Оставшиеся шесть файлов следующие:

• Первые два — бинарно-идентичные копии троянца Downloader.DQY, которые создают в операционной системе файл под названием svchost.exe, в действительности являющийся троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается с четырех различных веб-адресов скачать и запустить файлы, по крайней мере, два из которых представляли собой троянецев Multidropper.ARW и Sapilayr.A.
  
• Третий из шестерки файлов — рекламная программа Adware/SpySheriff.
  
• Четвертый — троянец Downloader.DYB, который пытается определить ID компьютера и скачивает файлы, которые перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера.
  
• Пятый файл — Downloader.CRY — создает два файла. Первый из них, svchost.exe, создается в c:\windows\system. Второй был идентифицирован как Lowzones.FO.
  
• Шестой файл, Downloader.EBY, создает, в свою очередь, другие шесть файлов:
  
  
  
  1. Троянец Downloader.DLH: использует стороннее приложение для сбора электронных адресов и отправки их на удаленный адрес по FTP. Именно им к 15 августа было собрано 3 миллиона адресов.
     
  2. Троянец Agent.EY: устанавливает себя на систему и запускается при каждой загрузке, заходя на веб-страницу, которая используется для сбора IP-адресов пораженных компьютеров, тем самым, предоставляя статистическую информацию о заражениях.
     
  3. Файл Clicker.HA: ждет десять минут после запуска и затем открывает порнографическую веб-страницу каждые 40 секунд.
     
  4. Файл-дозвонщик Dialer.CBZ.
     
  5. Рекламная программа Adware/Adsmart.
     
  6. Троянец Downloader.DSV: скачивает backdoor-троянца Galapoper.C.

Galapoper.C выполняет основную задачу атаки: рассылает спам. Он проверяет, есть ли открытое интернет-соединение, при положительном результате посещает три веб-страницы, указанные в его коде, и, в зависимости от зараженного компьютера, скачивает определенный файл. Этот файл позволяет выполнять персонализированные атаки и может содержать другие инструкции или обновления для Galapoper.C.

Galapoper.C также периодически проверяет доступность контента на трех страницах, упомянутых выше. Он также рассылает спам с зараженного компьютера и собирает информацию с сервера (электронные адреса, темы, текст сообщений) для спамовых сообщений — каждые 10 минут или после рассылки каждых 70 тысяч спамовых писем.

Вторая страница перенаправляет пользователя на другую страницу, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает еще две страницы. Код одной из них маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.

По словам Луиса Корронса (Luis Corrons), директора лаборатории PandaLabs, это одна из самых сложных организованных атак, которую когда-либо наблюдали в PandaLabs. Тот факт, что было собрано более 3 миллионов адресов для отправки спама, является показателем успешности атаки.

Чтобы предотвратить заражение SpamNet.A или другим вредоносных кодом, Panda Software рекомендует всем пользователям регулярно обновлять свои решения безопасности и системы, поскольку SpamNet.A и многие другие вредоносные коды рассчитаны на эксплуатацию уязвимостей.