Обнаружен троян шифрующий свои действия и печатающий программный код

25/06/2012 11:58

Антивирусная компания Symantec сообщает о распространение странной модификации трояна Trojan.Milicenso. Семейство троянов Trojan.Milicenso известно антивирусным экспертам с 2010 года. Считалось, что эти трояны использовались для установки рекламного ПО на инфицированные системы, а также обладали функциями удаленного управления. Новая версия трояна также распространяет рекламное приложение, известное многим антивирусным системам как Adware.Eorezo. Основная цель Adware.Eorezo привести пользователя на веб-сайт своего партнера, где демонстрируется реклама. Однако как удалось выяснить экспертам, установка рекламного ПО является прикрытием основной вредоносной активности, которую антивирусные специалисты еще не разгадали. Преградой тому служит использование шифрования для функций динамической библиотеки трояна. Для шифрования функций применяется уникальный для каждой системы код, кроме того, эти функции активируются лишь тогда, когда троян убежден в том, что за ним не следят и он выполняется не в виртуальной среде. Для определения виртуальной среды используется трехступенчатый анализ. В случае, если троян распознает виртуальную среду, происходит установка и запуск Adware.Eorezo. Источниками заражения системы трояном Trojan.Milicenso являются - почтовая рассылка и системы автоматического заражения с наборами эксплоитов. Большинство обнаруженных версий трояна выдают себя за поддельные видео-кодеки. После установки, троян анализирует окружение, далее прописывает себя в автозапуск системы и связывается с управляющим центром. Для общения с управляющим центром применяется шифрование трафика, а так как ключи находятся в зашифрованных функциях, эксперты не могут назвать, что именно передается на веб-сервер злоумышленников и какие команды получает троян. Выявить шифрование функций, экспертам Symantec, помогла случайность, а именно ошибки в процессе установки Adware.Eorezo. В результате некорректной работы с путями, установочный файл копируется в каталог очереди печати, что вызывает печать программного кода размером примерно в 2Мб. Всего было зафиксировано более 50 случаев печати. Анализ распространения трояна показал, что наибольшее число инфицированных систем обнаружено в США и Индии, а также в части Восточной Европы и Южной Африки.
Подробности