Специалисты компании Kindsight Security Labs при анализе подозрительной сетевой активности обнаружили новый образец китайского трояна Warp. Этот замечательный вредонос с 2005 года знаком антивирусным экспертам под разными названиями: в 2006 году его называли NetSniff, в 2008 - Capiframe, а иногда его без уникального имени относили к семейству ARPSpoof и Trojan.Sniff. Однако, в основе всех этих зловредов лежала китайская утилита ZXArps, предназначенная для проведения атак с подменой трафика. Для работы этой утилиты также требовались библиотеки сетевого мониторинга WinPCAP. Всё это, дополненное скриптами автоматизации вредоносной деятельности и распространялось в виде трояна Warp. Как показало исследование, деятельность Warp в большей степени ориентирована на локальные сети предприятий. Дело в том, что после своего запуска он производит изменение структуры сети путем спуффинга ARP-протокола. Тем самым, весь внутрисетевой трафик проходит через инфицированную систему. В рассматриваемом случае, это все делалось для получения возможности внедрять вредоносный HTML-код в запрашиваемые из сети веб-страницы. Внедренный код, эксплуатируя уязвимости в Java и Adobe Flash, производил установку рекламного программного обеспечения и своё распространение на другие узлы сети. Вредоносный скрипт располагался на домене "xiagg.info", зарегистрированном в феврале 2012 года и размещаемом на хостинге China Telecom. Несмотря на то, что большинство обнаруженных в этой атаке вредоносов успешно детектируются антивирусными системами, эта атака интересна тем, что для получения контроля над сетевым трафиком необходимо заражение всего одного узла сети. Представленная технология достаточно проста в реализации и может быть использована для автоматизации сетевого шпионажа.
Источник