Следующая новость
Предыдущая новость

Кликер маскируется под программу DynDNS

26.11.2018 22:42
Кликер маскируется под программу DynDNS

Рекомендуем почитать:

Xakep #236. FPGA

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты «Доктор Веб» обнаружили трояна-кликера, выдающего себя за программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса.

Угрозе присвоили идентификатор Trojan.Click3.27430, и специалисты рассказывают, что сама по себе малварь не представляет большого интереса, это обычный кликер для искусственной накрутки посещаемости веб-сайтов. Гораздо любопытнее метод, используемый злоумышленниками для установки малвари на устройства потенциальных жертв.

Целевая аудитория трояна — пользователи программы DynDNS. Разработчик малвари создал в страницу dnsip[.]ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free[.]com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip[.]ru.

Кликер маскируется под программу DynDNS

С указанного сайта действительно можно загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой не программу установки DynDNS, а загрузчик. В этом загрузчике хранится имя скачиваемого из интернета файла, который в исследованном образце назвался Setup100.arj.

Несмотря на «говорящее» расширение, Setup100.arj — не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.

Кликер маскируется под программу DynDNS

В первую очередь с использованием PowerShell он отключает Windows Defender, а для большей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы.

Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троян. Затем дроппер регистрирует исполняемый файл yandexservice.exe, в котором и реализованы все вредоносные функции малвари, в качестве службы с именем «YandexService». При этом в процессе установки настраивается автоматический запуск этой службы одновременно с загрузкой Windows. Сохранив на диске и запустив вредоносную службу, дроппер устанавливает настоящее приложение DynDNS.

Таким образом, если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а троян по-прежнему останется в системе и продолжит свою вредоносную деятельность.

Вирусные аналитики «Доктор Веб» исследовали и другой компонент трояна, выполненный в виде исполняемого файла с именем dnsservice.exe, который также устанавливается на зараженный компьютер в качестве службы Windows с именем DNS-Service. Вирусописателя выдают характерные отладочные строки, которые он забыл удалить из своей малвари:

  • C:BorisПрограммыBDownProject1.vbp
  • C:BorisПрограммыBarmashSetServiceProject1.vbp
  • C:BorisПрограммыBarmash.ru.newProject1.vbp
  • C:BorisПрограммыBarmash_ru_Restarter3Project1.vbp

Данный компонент распространяется в виде маскирующегося под архив файла dnsservice.arj с сайта barmash[.]ru.

Кликер маскируется под программу DynDNS

Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого трояна пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются еще 2013 годом. Полный список индикаторов компрометации можно найти здесь.

Источник

Последние новости