Skip to main content
В рубрике
4 votes

Недавно поймали троянскую программу с необычным функционалом. В папке с информацией о сампле мы обнаружили следующий скриншот:

Letter to Obama

Мы предположили, что это новый PDF эксплойт, внедренный в официальный документ с целью атаки на Белый Дом Smile Но не тут-то было. Файл оказался обычным PE EXE файлом, но с необычной иконкой:

PDF Icon

То есть, при запуске файла пользователь думает, что открывает PDF файл, а на самом деле троянскую программу из семейства Backdoor.Win32.Buterat. Хотя PDF документ все-таки открывается, как мы могли уже видеть. Как же это происходит?

Все просто! PDF-ка содержится в теле дроппера и при запуске извлекается и открывается в программе просмотра PDF файлов. Кстати сам документ можно свободно скачать из сети Интернет http://freebeacon.com/wp-content/uploads/2012/11/Letter-to-President-Obama-November-7-2012.pdf.

Второй вопрос - зачем? Во время того, как пользователь знакомиться с содержанием документа, троянец устанавливает в систему свой экземпляр:

c:\Documents and Settings\test\Local Settings\Application Data\Update.exe

И соединяется с командным сервером (C&C) для регистрации зараженной машины и загрузки новых компонентов при необходимости:

http://[...]cgn.51vip.biz/systen&cp=TEST-E3B64054CD&log=1343205727&index=690218

Несмотря на то, что установленный бэкдор был создан 14 ноября 2012:

PE Header

Вредоносный файл детектируется лишь 12 из 45 антивирусов на ВирусТотале:

VirusTotal

Таким образом, мы видим использование простой техники социальной инженерии, направленной на: 1) отвлечение внимания от установки и загрузки троянских модулей; и 2) привлечение внимания к самому файлу и его запуску пользователем.

Мы встречаем эту технику уже не первый раз. В июле 2012 Лаборатория Касперского опубликовала отчет о вредоносе "Mahdi", который шпионил за действиями пользователя и похищал аккаунты таких социальных сетей, как facebook, google, yahoo!, gmail, myspace, msn messenger, ВКонтакте. Для своего распространения и скрытия запуска эксплойтов в PPS файлах, Mahdi использовал формат презентаций PowerPoint, показывая красочные фотографии и проигрывая музыкальные произведения. Н-р, файл Moses_pic1.pps (1556992 байт, MD5: 362600f55f0266b38bbdb5af68ede3aa) воспроизводил песню "Ernesto Cortazar - You are my Destiny" и показывал следующие картинки:

Mahdi 1

Mahdi 2

Mahdi 3

А какие техники отвлечения внимания от процесса заражения видели вы?

Аватар пользователя kirill_zhelyabin

К счастью я их не видел, но могу предположить, что они могут быть в виде мультимедии ( видео, музыка, картинки).

Аватар пользователя Александр Адамов

Кроме того, медиа содержимое зачастую само по себе выступает в качестве контейнера для эксплойтов, загружающих вредоносы.

Аватар пользователя Желябин Антон

Во многих rar файлах с пиратским ПО лежит "бонус" в виде мультимедиа и пользователь ничего не подозревая при проигрывания песни идет заражение системы