Symantec сообщает об угрозе Trojan.Milicenso

Корпорация Symantec сообщает об угрозе Trojan.Milicenso. Вирус отправляет на серверы печати задания на распечатку случайных наборов символов вплоть до исчерпания запаса бумаги. При обнаружении антивирусными программами и помещении в карантин вирус не прекращает выполнения действий, так как использует уникальный механизм перенаправления программных запросов.

Код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке %System%. Затем исполняемый файл себя удаляет.

Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4 особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту — «черному ящику» (например, ThreatExpert).

Вирус также производит проверку наличия определенных драйверов системы, которые ассоциируются с режимом виртуальной машины.

Самым интересным является то, что большинство подпрограмм проверок/определения карантина используются в качестве защитных механизмов, позволяющих вирусу замаскироваться либо помешать анализу. Однако в данном случае, несмотря на наличие карантина, вирус не прекращает выполнения действий, а наоборот — производит определенные действия, например, запрос сайтов. Эти действия ассоциированы с Adware.Eorezo — так что возможно, что вирус использует рекламное программное обеспечение в качестве ложного объекта, отвлекающего на себя внимание, пытаясь таким образом избежать анализа в том плане, что вирус при этом получит категорию угрозы невысокого уровня и будет пропущен.

При выполнении действий вирус запрашивает значения времени создания папок System и System Volume Information для создания уникального значения — та же самая операция, выполнявшаяся при установке трояна. Затем код использует уникальное значение для расшифровки главного ключа шифрования, который используется для расшифровки и выполнения основного содержания трояна.

Троян шифрует собранную информацию и отправляет её атакующему в закодированном виде — имени файла запроса HTTP GET. Запрошенный файл, возвращаемый сервером, является зашифрованным вирусным кодом.

Один из созданных файлов данного вируса представляет собой исполняемый файл, идентифицируемый как Aware.Eorezo. Файл имеет цифровую подпись, использующую сертификат, выданный компании «Agence Exclusive». Срок действия сертификата истек в январе 2012, поэтому верификация цифровой подписи завершается ошибкой. На данный момент специалистам Symantec не удалось подтвердить существование компании «Agence Exclusive», что указывает на то, что это несуществующая компания либо компания, прекратившая свою деятельность. Исполняемый файл создан с единственной целью: расшифровка адреса URL и запуск выполнения команды ShellExecute, запускающей браузер для открытия расшифрованного адреса URL (ads.alpha[УДАЛЕНО]).

С этого домена происходит перенаправление трафика на другой рекламный адрес URL, с которого происходит перенаправление на следующий рекламный адрес URL; в конце браузер открывает случайный сайт. В процессе исследования в конце цепочки перенаправлений наблюдались различные французские сайты.

На этапе заражения происходит создание файла с расширением .spl. Данный файл, хотя и выглядит как обычный файл задания на печать, на самом деле является исполняемым файлом, определяющимся как файл Adware.Eorezo. В зависимости от конфигурации любые файлы в этой папке, в том числе и бинарные, запускают задания на печать. Это и объясняет сообщения о неожиданных распечатках, происходивших в зараженных сетях. Основываясь на собранной информации, можно сказать, что испорченная бумага является, скорее всего, побочным эффектом заражения, нежели осмысленной целью авторов вируса.

Специалисты Symantec продолжают анализ новых случаев заражения данным вирусом и проводят обновление средств защиты. Недавно также стало известно, что SANS разместила дополнительную информацию о новом варианте Trojan.Milcenso. Этот вариант модифицирован мусорным заполнителем в исполняемом файле, что призвано затруднить его определение. Это показывает, что авторы угрозы продолжают работать не покладая рук над распространением своего вируса.

В настоящее время Symantec представляет следующие сигнатуры для антивирусного ПО, предназначенные для определения файлов, ассоциированных с этим вирусом:
· Trojan.Milicenso
· Adware.Eorezo
· Packed.Generic.371
· Packed.Generic.372