Bookworm: εγκατάσταση με αρχεία της Microsoft & της Kaspersky

: Ένα νέο trojan που ανακαλύφθηκε από την Palo Alto Networks χρησιμοποιεί λογισμικό ασφαλείας που υπάρχει εγκατεστημένο στον υπολογιστή του χρήστη για να φορτώσει αρχεία DLL που απαιτούνται για την εγκατάσταση του.trojan

Αυτό το νέο trojan ονομάστηκε Bookworm από τους ερευνητές της Palo Alto, και παρουσιάζει κάποιες ομοιότητες με το RAT PlugX.

Προς το παρόν, η Palo Alto αναφέρει ότι το trojan κυκλοφορεί μόνο στην Ταϊλάνδη.

Όσον αφορά την εσωτερική του δομή, το Bookworm φαίνεται να είναι μέρος μιας νέας, ανοδικής τάσης σπονδυλωτών ,

Οι κακόβουλες απειλές που εμπεριέχει αρχίζουν την εγκατάστασή τους στον υπολογιστή του θύματος σε πολλαπλά στάδια για να αποφύγουν τον εντοπισμό. Φέρεται δε, να χρησιμοποιούν ένα απομακρυσμένο C&C (διοίκησης και ελέγχου) για να ελέγξουν τι συστατικά θα φορτώσουν στον υπολογιστή του θύματος, με βάση το προφίλ του στόχου.

Η εσωτερική αρχιτεκτονική του trojan Bookworm είναι απλή. Πολλά κακόβουλα αρχεία DLL κρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο XOR και συσσωρεύονται μαζί σε ένα αρχείο Readme.txt.

  Ανάλυση του PC-Manager της Microsoft

Αυτό το αρχείο Readme.txt στη συνέχεια συνεργάζεται με καθαρά εκτελέσιμα αρχεία DLL και ορισμένα άλλα από ένα αυτο-εξαγόμενο αρχείο RAR, το οποίο με τη σειρά του εμπεριέχει το Smart Installer, μια εφαρμογή για τη δημιουργία πακέτων εγκατάστασης.

Όταν εκτελεστεί ο εγκαταστάτης πυροδοτεί το αυτο-εξαγόμενο υλικό που ξεφορτώνει το κακόβουλο από το Readme.txt, καθαρά DLL, και το καθαρό .

Το ενδιαφέρον όμως είναι, ότι μετά την ολοκλήρωση του προγράμματος εγκατάστασης, λανσάρει αυτόματα το καθαρό EXE που μόλις έχει δημιουργηθεί. Αυτό το εκτελέσιμο αρχείο αρχίζει να αναζητεί εκτελέσιμα αρχεία των εφαρμογών Malware Protection (MsMpEng.exe) και Anti-Virus (ushata.exe)..

Όταν τα ανακαλύψει, φορτώνει τα καθαρά αρχεία DLL σε αυτά τα εκτελέσιμα και χρησιμοποιεί τα δικαιώματα των εν λόγω εφαρμογών για να εγκατασταθεί ως υπηρεσία της Microsoft.

Έτσι το Bookworm. έχει όλα τα δικαιώματα που χρειάζεται για να τρέχει όλα τα modules του αρχείου readme.txt, και ξεκινάει επικοινωνίες με το διακομιστή της C&C, προσθέτοντας νέα κακόβουλα αρχεία, ενώ αποστέλλει κλεμμένα δεδομένα στον server.

  ΑΑΔΕ appodixi bonus σε όσους καταγγέλλουν μη γνήσιες αποδείξεις

Οι ερευνητές δεν αναφέρουν ποια άλλα modules έχουν βρεθεί, καθώς το Bookworm είναι δύσκολο να αναλυθεί, αφού χρησιμοποιεί τουλάχιστον τέσσερις αλγόριθμους κρυπτογράφησης, όταν επικοινωνεί με τον C&C server (RC4, , XOR, και LZO).

Bookworm

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).