- Backdoor.Win32.Sinowal
-
Backdoor.Win32.Sinowal — буткит, похищающий конфиденциальную информацию пользователя. Является приложением Windows (PE-EXE файл).
Тип вируса: Загрузочный вирус.
Был обнаружен в конце марта 2009 года.
Размер инсталлятора может варьироваться в пределах от 300 до 460 КБ.Содержание
Инсталляция
При запуске инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контролирует процесс ее загрузки.
Маскировка в системе
Для скрытия своего присутствия в системе и предотвращения обнаружения антивирусными программами данный бэкдор перехватывает доступ к диску на уровне секторов. Для этого вредоносная программа подменяет обработчик запроса ввода/вывода IRP_MJ_INTERNAL_DEVICE_CONTROL в последнем драйвере стека загрузочного диска.
Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов. По данным экспертов "Лаборатории Касперского", буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.Деструктивная активность
Бэкдор скачивает с сайтов злоумышленника модуль-дополнение, содержащий шпионский функционал, и внедряет его в запущенные в системе процессы пользователя. Шпионский модуль перехватывает следующие системные функции поддержки шифрования:
- CryptDestroytKey
- CryptEncrypt
- CryptDecrypt
и похищает все используемые в системе ключи шифрования, а также шифруемые и дешифруемые данные. Собранную информацию руткит отправляет на сайт злоумышленника. Бэкдор использует технологию постоянной миграции серверов злоумышленника, для этого используется специальный алгоритм генерации доменного имени в зависимости от текущей даты.
Метод распространения
На настоящий момент в основном распространение ведется через три типа ресурсов:
- взломанные сайты;
- порно-ресурсы;
- ресурсы, которые распространяют вредоносное ПО.
Во всем этом прослеживается русская нотка, по мнению аналитиков "Лаборатории Касперского". Дело в том, что большинство сайтов — распространителей связаны между собой ссылками. Этот метод взаимодействия очень популярен в российском и украинском андерграунде.
При этом на ресурсах используется скрипт, который начинает первый этап инфицирования жертвы. Переадресация производится на IP, который отныне — домен, на который переадресовывается жертва, генерируется скриптом. Генерация происходит, отталкиваясь от даты, которая установлена на компьютере-жертве.
Еще одной хитрой технологией, относящейся к распространению, можно назвать cookies, которые вирус оставляет на жертве. Длительность жизни этих cookies составляет 7 дней. Делается это для того, чтобы идентифицировать жертву при повторном попадании в лапы к скрипту. Cookies проверяются, и если скрипт выявляет, что жертва уже побывала на приеме у административной панели, то переадресации не происходит.
Обнаружение и лечение
Обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. Но на сегодняшний день данный вирус лечится почти всеми ведущими антивирусными программами.
Ссылки
Backdoor.Win32.Sinowal. Гармоничное сочетание компонентов
И снова Backdoor.Win32.Sinowal. Скачок в будущееСм. также
Категория:- Компьютерные вирусы и сетевые черви
Wikimedia Foundation. 2010.