Klik na levi taster miša i Trojanac Upclicker

Opisi virusa, 17.12.2012, 07:28 AM

Pronalaženje novih načina da malveri izbegnu otkrivanje od strane antivirusa, a posebno antivirusnih skenera, čini se, postaje primarni cilj autora malvera.

Istraživači firme FireEye otkrili su jedan takav ingeniozan primerak malvera, Trojanca nazvanog Upclicker koji uspeva da izbegne automatizovanu sandbox detekciju vezivanjem za klik miša.

Upclicker je backdoor koji postaje aktivan nakon što korisnik klikne i pusti levi taster miša. S obzirom da u sandboxu nema interakcije miša, zlonamerno ponašanje Upclicker Trojanca ostaje prikriveno u okruženju sandboxa.

Sandbox je izolovano okruženje u kome se sumnjivi kod izvršava na bezbedan način. Ukoliko je maliciozan, kod biva blokiran, u suprotnom, proces se nastavlja neometano. U antivirusnim programima sve češće se primenjuje sandbox tehnologija. Pored toga, i neki veoma popularni programi kao što su Adobe Reader, Flash, Java takođe raspolažu sandbox kapacitetima.

Stručnjaci predviđaju da ćemo u budućnosti sve češće viđati malvere koji koriste pritisak na određene tastere na tastaturi, tastere ili pokrete miša da bi izbegli otkrivanje.

Sve češće malveri imaju implementirane tehnike za izbegavanje detekcije. Kodirani paketi se već dugo koriste za povećanje održivosti malvera. Primera radi, Conficker je u stanju da prepozna da li se otvara u okruženju virtuelne mašine, što ukazuje na to da je otvoren zbog testiranja, tako da se u takvom okruženju neće ni izvršiti.

Bankarski malver Shylock ima sposobnost da prepozna da li se izvršava na računaru preko RDP (remote desktop protocol). Istraživači često koriste RDP za proučavanje malvera koji se nalaze na udaljenim lokacijama. Ukoliko otkrije RDP, Shylock se neće instalirati.

Symantec je sproveo istraživanje o taktikama koje koriste malveri kako bi izbegli da budu otkriveni. Ako se malver zaustavi kada otkrije da je u virtuelnom okruženju, on može prevariti automatizovani sistem za analizu pretnji koji će misliti da se radi o „čistom“ programu. Malver može da se zaustavi i ako otkrije određene procese, kao i to da ga neko nadgleda. Tako malver ne samo da može da prevari sisteme za analizu pretnji već i administratora sistema koji pretražuje zaražene računare.

Autor malvera se oslanja na činjenicu da sistem za detekciju ne koristi miša pa ukoliko se on pokreće samo kada se klikne mišem ili se miš pomera, što su očekivani potezi korisnika Windows sistema, malver će ostati neprimećen sve vreme.

Kada je reč o Upclicker Trojancu, kada se pokrene, on ubacuje kod u Windows Explorer i na kraju uspostavlja backdoor kanal čekajući dalje komande.