Sve više računara zaraženih Trojancem Viknok koji je umešan u prevaru sa klikovima

Opisi virusa, 12.05.2014, 07:58 AM

Prevara sa klikovima je vrsta internet prevare koju sajber kriminalci još uvek vide kao delotvoran način za dobru zaradu. Uz pomoć zlonamernih programa kriminalci simuliraju klikove korisnika na reklame, za koje plaćaju oglašivači koji zauzvrat ne dobijaju ništa.

Jedan takav program otkrili su istraživači Symanteca, koji su prošlog meseca uočili porast broja infekcija Trojanca Viknok.

Trojanac Viknok je prvi put uočen u aprilu prošle godine. Tada je on inficirao dll fajlove malicioznim payloadom. U međuvremenu, Viknok je evoluirao u sofisticiranu pretnju, sposobnu da stekne veće privilegije na operativnom sistemu da bi inficirao sistemske fajlove na nekoliko operativnih sistema, kao što su 32-bitna i 64-bitna verzija Windows XP, Vista i Windows 7 i tako pretvori zaražene računare u botove (zombije).

Računare zaražene Trojancem Viknok kriminalci koriste za prevaru sa klikovima. Šta više, očigledno je nastojanje kriminalaca da nove žrtve priključe bot mreži koja je uključena u prevaru sa klikovima, i to sa ciljem da povećaju zaradu.

Malver koji je otkriven pre godinu dana, pojačano se koristi poslednjih šest meseci, upozoravaju iz Symanteca.

Prošlog meseca stručnjaci ove kompanije uočili su pojačanu aktivnost malvera Viknok, a u mnogim slučajevima korisnici računara zaraženih ovih Trojancem su prijavljivali da čuju zvuk koji emituju zvučnici računara. Samo u prvoj nedelji maja Symantec je otkrio 16500 jedinstvenih infekcija malverom Viknok, a većina novih žrtava su korisnici interneta u SAD.

Viknok inficira računare ubacujući svoj payload u dll fajlove. Međutim, to nije lak zadatak na današnjim operativnim sistemima. Čak i ako korisnik ima administratorski nalog, on nema dozvolu da menja važne sistemske fajlove, kao što je na primer rpcss.dll koji dozvoljava programu da se pokrene svaki put kada se pokrene Windows.

Viknok na raspolaganju ima arsenal tehnika koje mu omogućavaju “tihu” infekciju sistemskog fajla rpcss.dll. On koristi SeTakeOwnerhipPrivilege funkciju da preuzme vlasništvo nad sistemskim fajlovima. On takođe koristi Windowsovu Dynamic-Link Library Search Order da bi pokrenuo maliciozni dll unutar System Preparation Tool procesa. Koristi alat Run a legacy CPL elevated da bi pokrenuo dll sa povišenim privilegijama.

Najmoćnija tehnika koju koristi malver uključuje korišćenje ranjivosti CVE-2013-3660 (Microsoft Windows Kernel 'Win32k.sys' Local Privilege Escalation Vulnerability) koja omogućava malveru da pokrene kod u kernel modu.

Kada se nađe na računaru, Viknok koristi jednu ili više ovih tehnika da bi inficirao rpcss.dll, tako da se maliciozan kod pokrene svaki put kada se pokrene Windows. Infekcija ovog fajla omogućava učitavanje malvera koji se obično čuva u šifrovanom fajlu u folderu %System%.

U mnogim slučajevima proces infekcije je potpuno nevidljiv. Malver ne prikazuje nijedno upozorenje, a teško ga je i otkriti jer ne pokazuje nijedan sumnjivi tekući proces.

Malver korisniku računara prikazuje UAC (User Account Control) upit da bi dobio povišene privilegije, i ako korisnik to ne odobri, pokušaj infekcije će biti neuspešan. Međutim, UAC upit izgleda kao normalna aktivnost sistema, tako da je moguće da korisnik Trojancu da dozvolu bez mnogo razmišljanja jer mu ništa neće izgledati sumnjivo.

Kriminalci trenutno koriste računare zaražene malverom Viknok za prevaru sa klikovima. Za tu aktivnost napadači koriste malver koji Symantec detektuje kao Trojan.Vikadclick. Kada se Vikadclick učita, on će povremeno preuzimati komande sa C&C servera (server za komandu i kontrolu) koji su pod kontrolom napadača. Te komande primoravaju zaraženi računar da učestvuje u aktivnostima koje su povezane sa prevarom sa klikovima na reklame.

Zvuk koji čuju korisnici zaraženih računara je rezultat poseta malvera web sajtovima na kojima se emituje zvuk a koje malver krišom posećuje.

Broj infekcija malverom raste. To je trend uočen tokom prethodnih nekoliko meseci. U decembru skoro da nije bilo novih infekcija. U januaru je malver zarazio više od 10000 računara, u februaru oko 2500, u martu 7500 a u aprilu je ukupan broj infekcija bio 22000.