Nova verzija Trojanca Gameover štiti se od uklanjanja dodatom rootkit komponentom

Opisi virusa, 03.03.2014, 07:50 AM

Stručnjaci kompanije Sophos upozorili su da se pojavila nova verzija malvera Gameover sa kernel rootkit-om što značajno otežava uklanjanje malvera.

Gameover je Trojanac čiji je kod baziran na mnogo poznatijem bankarskom Trojancu Zeus, čiji je kod procurio na internetu 2011. godine. Gameover se razlikuje od ostalih trojanskih programa baziranih na kodu malvera Zeus zato što koristi peer-to-peer tehnologiju za komandu i kontrolu umesto tradicionalnih servera, što ga čini otpornijim u odnosu na srodne malvere.

Početkom februara, stručnjaci firme Malcovery Security uočili su novu verziju Trojanca Gameover koja se distribuira kao kriptovani .enc fajl da bi se zaobišle odbrane mreže. Najnoviji trik kojim se služe autori Gameover malvera je korišćenje kernel rootkit-a nazvanog Necurs da bi se zaštitili procesi malvera i sprečilo brisanje njegovih fajlova.

Najnovija verzija Gameover Trojanca se distribuira preko spam emailova koje navodno šalje HSBC Francuska, a u emailovima se nalaze prilozi u formi .zip fajla. Ipak, .zip fajlovi ne sadrže Gameover već downloader Trojanca poznatog pod nazivom Upatre koji, ako se pokrene, preuzima i instalira bankarski malver.

U prvoj fazi, ako je infekcija uspela, novi Gameover pokušava da instalira rootkit Necurs koji funkcioniše kao 32-bitni ili 64-bitni drajver, u zavisnosti od verzije Windows-a na računaru. Malver pokušava da iskoristi poznatu ranjivost u Windows-u za koju je Microsoft obezbedio zakrpu još u martu 2010. da bi instalirao drajver Necurs sa administratorskim privilegijama.

Ako je sistem zakrpljen i ako taj pokušaj ne uspe, malver pokreće User Account Control upit da bi zatražio od žrtve administratorski pristup. UAC upit trebalo bi da bude sumnjiv žrtvi s obzirom da je usledio posle otvaranja fajla u prilogu emaila.

Bez obzira da li je uspeo iz prve ili je dobio potvrdu korisnika o izvršenju, lažni drajver započinje da štiti komponente Gameover malvera.

“Rootkit u velikoj meri povećava teškoće uklanjanje zlonamernih programa sa zaraženog računara, tako da ćete verovatno duže ostati inficirani i prepustiti više podataka operaterima bot mreže Gameover”, kažu iz Sophos-a.

Dodavanje rootkit-a Necurs u Sophos-u objašnjavaju time da je moguće da su se dve grupe udružile ili da je grupa koja je vlasnik Gameover Trojanca kupila kod Necurs rootkit-a.

“Šta god da je razlog, dodavanje Necurs rootkit-a već opasnom malveru je nepoželjan razvoj”, kažu iz Sophos-a.

Zeus i njegovi derivati su i dalje popularni kod sajber kriminalaca. Prema podacima koje je nedavno objavio Dell Secure Works, verzije Zeus je i dalje čine polovinu svih bankarskih malvera viđenih prošle godine.

Osim krađe podataka koji su u vezi bankovnih računa, kriminalaci sve više koriste ovakve malvere za prikupljanje drugih vrsta podataka.