Anatomija ZeroAccess Rootkita

Opisi virusa, 21.11.2010, 23:03 PM

Anatomija ZeroAccess Rootkita

ZeroAccess rootkit (vidi u Rečniku: rootkit) nije među najpoznatijim malicioznim programima u novijoj istoriji, ali nova, veoma detaljna analiza ovog programa pokazuje da je reč o savršenom primeru sofisticiranog malicioznog softvera kojeg napadači koriste za stalan, tihi upad u kompromitovane računare.

ZeroAccess se koristi kao platforma za instalaciju drugih malicioznih programa na zaraženom računaru i kao deo šeme za instalaciju lažnih antivirusnih programa posle koje se od korisnika traži da plati kako bi program bio uklonjen. Prema analizi istraživača Đuzepea Bonfa iz Instituta InfoSec, rootkit je naročito podmukao i neugodan jer ima sposobnost da se ubaci u drajvere različitih uređaja i procesa i smesti sebe u bazične nivoe softvera. Obimna analiza ZeroAccess rootkita secira deo po deo i ukazuje na metode koje on koristi za infekciju računara, svoje održanje na zaraženom računaru i ostajanje van dometa radara antivirusa.

“Institut InfoSec bi klasifikovao ZeroAccess kao sofisticirani, napredni rootkit. ZeroAccess je crimeware koji služi kao platforma za instalaciju različitih malicioznih programa na napadnutim kompjuterima. Pred toga, on ima funkcije koje korisnicima posao uklanjanja instaliranih malicioznih programa čine nemogućim i otežavaju forenzičku analizu stručnjaka za kompjutersku bezbednost,” piše Bonfa.

“Na kraju analize, pratićemo kriminalno poreklo ZeroAccess rootkita. Otkrićemo da je svrha ovog rootkita da bude nevidljiv, da se ne može detektovati, i da bude platfoma za isporuku malicioznog softvera na računare žrtava koju je nemoguće ukloniti. Takođe, videćemo da se ZeroAccess treutno koristi za ulaz FakeAntivirus crimeware programa koji nastoje da prevare korisnika da plati 70 dolara za uklanjanje lažnog antivirusa sa računara. On može biti korišćen i za ulaz bilo koje maliciozne aplikacije u zaraženi računar, kao što je ona koja kasnije krade bankovne podatke i podatke kreditnih kartica.”

Jedan od trikova koje ZeroAccess koristi su API pozivi niskog nivoa za pisanje po novokreiranoj particiji koju korisnik inace ni ne vidi. Rootkit takođe vrši nadzor nad procesima na nivou kernela, te u kernel modu ima sposobnost da izbegne u memoriji većinu forenzičkih alatki (dibageri, prim. prev.), kao i procese za nadgledanje malicioznih programa.

Motiv za nevidljivost i pametan inženjering, kao što se može pretpostaviti, je novac. ZeroAccess rootkit se koristi kao platforma za instalaciju lažnih antivirusnih programa na zaraženim računarima kako bi se, u krajnjoj liniji, od žrtava zatražila nadoknada za uslugu uklanjanja neželjenog softvera. Mnogi scareware (vidi u Rečniku: scareware) ili lažni antivirusni programi se instaliraju ili drive-by downloadom ili kada korisnik klikne na prozor sa obaveštenjem, upozorenjem ili pitanjem (dialog box) na zaraženom veb-sajtu.

U slučaju ZeroAccessa, rootkit koristi maliciozni DLL fajl da bi se startovale komande koje na kraju rezultiraju pozivima za komunikaciju sa udaljenim serverom i zahtevom da maliciozni kod instalira lažni antivirusni softver.

Ovaj ubačeni DLL fajl služi za generisanje preusmeravanja ka malicioznim veb-sajtovima na kojima se nalazi lažni antivirusni softver. Sa lažnim antivirusom koji žrtvu košta 30 do 100 dolara ma gde se ona nalazi, ovo predstavlja zlatni rudnik za kriminalce.

Lažni antivirusni i scareware programi su zlatni rudnici za napadače. Mnogo puta, žrtve koje plaćaju naknadu za navodno uklanjanje malicioznog softvera sa računara na kraju shvate da program ili nije uklonjen ili da je uklonjen pa je ubrzo ponovo došlo do ponovne infekcije računara. Ovi programi su često deo većih black hat SEO i SQL injection kampanja koje sprovode grupe napadača.

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje