Phasebot: Malver bez fajlova koji ne ostavlja tragove

Opisi virusa, 22.04.2015, 01:00 AM

Još od otkrića trojanca bez fajlova Powerliks u avgustu 2014., stručnjaci su očekivali da se pre ili kasnije pojave i drugi slični malveri.

I to se najzad dogodilo. Pojavio se malver nazvan Phasebot, koji ne ostavlja tragove na disku, već se nalazi u memoriji sistema. Ovaj malver prodaje se na internetu, na forumima koji okupljaju sajber kriminalce.

Zbog sličnosti, stručnjaci veruju da je Phasebot direktni naslednik malvera Solarbot, koji se pojavio u maju 2013. Međutim, za razliku od Solarbota, Phasebot je fokusiran na to da izbegne da detekciju antivirusa.

“Za razliku od većine malvera, malveri bez fajlova se sakrivaju na mestima koja je teško skenirati ili otkriti”, kaže Majkl Markos iz kompanije Trend Micro. “Malveri bez fajlova egzistiraju samo u memoriji i upisuju se direktno u RAM umesto da budu instalirani na hard disku napadnutog računara.”

Taktike koje koristi Phasebot da bi izbegao detekciju uključuju rootkit kapacitete, enkripciju komunikacije sa njegovim serverom za komandu i kontrolu i detekciju virtuelnih mašina koje koriste istraživači analizirajući ponašanje malvera u bezbednom okruženju. Phasebot takođe koristi različite lozinke svaki put kada kontaktira kontrolni server.

Malver ima i eksterni loader modula, koji se koristi za dodavanje ili uklanjanje malicioznih komponenti na kompromitovanom računaru.

Malver na zaraženom računaru može da krade informacije sa web sajtova uz pomoć form-grabbera, može da pokreće DDoS napade, da se ažurira, i da preuzima i pokreće druge fajlove i pristupa URL-ovima.

“Mislimo da je Phasebot zanimljiv zbog njegovog korišćenja Windows PowerShell, legitimnog, ugrađenog alata za administraciju sistema, sa ciljem izbegavanja detekcije od strane sigurnosnog softvera. On koristi PowerShell za pokretanje svojih komponenti koje su sakrivene u Windows registryju”, kaže Markos.

Stručnjaci smatraju da se korišćenje Windows PowerShell takođe može posmatrati kao strategija zbog toga što je ovaj alat uvršten u inicijalne instalacione pakete Windows 7 i novijih verzija. A s obzirom da mnogo korisnika koristi ove verzije Windowsa, sajber kriminalci imaju i više potencijalnih žrtava.

Činjenica da većina antivirusnih rešenja ima problem da detektuje malvere bez fajlova, kao i to da ih je teško ukloniti, autori malvera će sasvim sigurno nastaviti da razvijaju malvere slične malverima Powerliks i Phasebot.

“Veoma je moguće se oni neće ograničiti samo na jednostavno korišćenje Windows registryja za sakrivanje svojih malvera”, kaže Markos dodajući da će oni verovatno početi da koriste druge, sofisticirane tehnike za maliciozne aktivnosti bez postavljanja fajla na napadnutom sistemu.