Зевс, новият банков троянски кон

Говорейки за вируси, червеи, троянски коне, рууткити, определено бих се притеснил, ако създателите на тези изроди ми кажат:

Works as advertised, and delivers as promised.

Бих се притеснил двойно, ако това изречение ми го каже някой голям и сериозен секюрити рисърчър, например като Брус Шнайер, Стив Гибсън, Марк Русинович, Райндол Шварц, Брайън Кребс, или ако анализирам гадината и сам видя че наистина Works as advertised, and delivers as promised.

Така днес си грах с един троянски кон, исках да го анализирам, да го видя какво прави, как го прави и къде. Ето и резултатите от анализа ми. Това е гадина която ОПРЕДЕЛЕНО НЕ ЖЕЛАЕТЕ да ви се лепне на компютъра.

Когато получих мострата от Стив Гибсън от GRC.COM, Microsoft Secrity Essentials не го познаваше, докладваше го за чист. Пратих им копие на мострата, заедно с кратичко описанииче що е то в зип архива, признаха го, потвърдиха че е най-новия зевс, и ми отдадоха заслугата. 24 часа след като го пратих, ми казаха че са признали мострата и са направили дефиниция да го познава по мойта мостра.

поиграх си малко с него, и с инструментите на Марк Русинович Sysinternals tools и направих този кратък анализ.

Зевс е троянски кон, който се разпространява, с фишинг емайл, и поради тази причина създава и използва ботмрежа с името Zbot.

Троянският кон, използва рууткит, за да прикрие присъствието си – файлове, процеси, тредове, записи в регистри.

Рууткита, реагира късно да пази троянския кон, чак когато сте притеснително бизо до троянския кон – тоест ако не търсите троянския кон, рууткита няма да реагира за да не се издаде. Чак когато степритеснително близо до него, рууткита режава че не сте там случайно а с цел и реагира на ставащото.

Рууткита се прикрива като гугълска услуга, за да може, дори при неговото разкриване, да се опита да изглежда като нещо невинно. Камуфлаж.

Рууткита и троянският кон, са създадени, да работят на неадминистраторски акаунт, без права и привилегии, и притеснителното е че го правят, безупречно.

Троянският кон, се опитва да се отпише от системните защити на паметта – DEP – Data Execution Prevention, ASLR – Address Space Layout Randomization и SEHOP – Structured Exception Handler Overwrite Protection. Ако не успее, става още по-притеснително, използва нов пробив в системата за шрифтове, за да получи права на администратор и на системен процес на ядрото – kernel ring 0 с които тотално изключва споменатите защити.

Троянският кон, работи с папките на потребителя в потребителския профил, и в частите на регистри отнасящи се до текущият потребител. Тъй като се правят промени за текущият потребител, троянският кон няма нужда от администраторски права, за да зарази системата и да се запише за автоматично стартиране.

Троянският кон записва 2 файлана хард диска, единият от които е рууткита, който крие всичко, а другият е троянският кон, който бива скрит от рууткита.

Папката в която се записва рууткита е:

При 64 битова версия на уиндоус:

C:\program files x86\google\desktop\install\random named folder 1\random named folder 2\random named folder 3\googleupdate.exe

При 32 битова версия на уиндоус:

C:\program files\google\desktop\install\random named folder 1\random named folder 2\random named folder 3\googleupdate.exe

Където папките с имена random named folder всъщност са папки с произволни имена.

Папката в която се записва самият троянски кон е:

C:\users\current user folder\appdata\local\google\desktop\install\random named folder 1\random named folder 2\random named folder 3\randomfilename.exe

Където randomfilename значи произволно име на файла, и Където папките с имена random named folder всъщност са папки с произволни имена.

Имената на файла и на папките нарочно са произволни, и се създават за всеки заразен компютър произволни, за да може, да няма видими общи белези, между заразените компютри. Още една техника за прикриване на присъствието си.

При стартиране на заразеният компютър, операционната система зарежда рууткита, след като рууткита се стартира, заработи и се скрие, рууткита стартира троянския кон и го прикрива.

Рууткита се записва в регистри за автоматично стартиране в частта на регистри за текущият потребител:

HKEY_Current_User\Microsoft\Windows\Current_Version\Run

Интересното е че като система за пририване, това не успява да го направи. Опита му ма прикриване е белега който го издава. Записа на файла за автоматично стартиране бива прикрит с разместване на буквите в името на файла, и файла се вижда като:

exe.etadpuelgoog

но като наместите буквите правилно, се появява истинското име на файла:

googleupdate.exe

Това че всичко е разместено, привлича погледа. Обикновенов регистри всички имена са коректно споменати и няма опити за прикриван и завоалиране на имена, и за това така завоалирано името привлича внимание. единственото завоалирано има на фона на всички останали незавоалирани, за това по-горе казах че не успява и че опита за прикриване е това окето го издава.

Рууткита и троянският кон са маркирани като Safe Boot което означава, че уиндоус ги стартира при зареждане на компютъра в обичайния safe mode. Проблемът се утежнява, защото също бива зареден и в Safe mode with VGA и Safe Mode with Networking, защото в последният режим, троянският кон директно си се връзва в неговата бот мрежа и всичко работи на 100%

Хубавото, е че не се зарежда в най-минималистичния и най-орязаният режим – Safe mode with command prompt. Ех добрият стар дос, хората от старата школа, знаят за какво говоря. В този режим, не е проблем да навигирате с командите на дос, и да изтриете файловете на зевс и рууткита, и да използвате Autoruns sysinternals инструмента, за да премахнете записа за автоматично стартиране от регистри.

Веднъж троянският кон, стартиран от рууткита, и скрит от рууткита, веднага се закача за клавиатурата, и търпеливо анализира всичко което набирате от клавиатурата, за да види може ли да извади акаунти за електронно банкиране, данни за кредитни или дебитни карти, данни за банкови сметки.

Троянският кон, и рууткита, съществуват не като самостоятелни процеси, а като DLL тредове, под юриздикцията на services.exe което позволява, на троянският кон да следи клавиатурата, и на рууткита да го прикрива успeшно.

За да се свърже с неговата ботмрежа, троянският кон, стартира множество UDP връзки от локален порт 54946 на зарdзеният компютър, до отдалечен порт 16470 на произволно генерирани имена, физически пръснати по целия свят, откъдето вземат командите си от command & control или предава вече събраната информация от клавиатурата.