Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

Następnego dnia otrzymano następującą odpowiedź od nieznanego szkodliwego użytkownika: Jak widać z powyższego tekstu, autorzy Gpcode.ai nie prosili o 300 dolarów - jak żądano w wiadomości pozostawionej przez trojana - ale o 500 dolarów. Pieniądze te miały zostać przelane za pośrednictwem e-gold, ulubionego systemu płatności cyberprzestępców. Ponadto został podany numer konta, na które należało przelać pieniądze.

Wraz z tym mailem ta linia śledztwa utknęła w martwym punkcie.

3. Ciąg "_SYSTEM_64AD0625_"

Jedyną rzeczą, jaka pozostała, było ustalenie, jakie inne szkodliwe programy mogły zostać stworzone przez grupę przedstawiającą się jako "Glamourous team". Specjaliści z Kaspersky Lab zaczęli więc przeszukiwać własną kolekcję wirusów w celu znalezienia następującego ciągu: "_SYSTEM_64AD0625_"

Rezultaty były zaskakujące. Muteks ten znaleziono w wielu różnych rodzajach trojanów - trojanach downloaderach, trojanach szpiegujących oraz backdoorach.

Wspólną cechą wszystkich tych próbek była nazwa pliku, który szkodliwe programy zainstalowały na zaatakowanej maszynie: ntos.exe, dokładnie tej samej nazwy pliku używał Gpcode.ai. Oprócz tego, szkodliwe programy znalezione w kolekcji zawierały pliki o nazwie sporder.dll oraz rsvp322.dll i tworzyły podkatalog o nazwie wsnpoem, zawierający pliki o nazwach audio.dll oraz video.dll w katalogu systemu Windows.

Szczegółowa analiza wybranych plików pokazała, że oprócz tego, że zawierały one ten sam muteks, ich kod był w ponad 80% identyczny!

"Uniwersalny" kod
Wydawało się, że natrafiono na uniwersalny kod. Kod ten miał na celu nie tylko kradzież danych oraz instalowanie nowych trojanów na zaatakowanej maszynie. Miał również działać jak bot i przyłączać zaatakowaną maszynę do sieci zombie.

Szkodliwe programy wykorzystujące ten "uniwersalny" kod posiadały pojedynczy komponent oraz niewielką (w porównaniu z całkowitym rozmiarem pliku), unikatową funkcję różniącą się w zależności od wersji. Interesujące jest to, że niektóre z tych programów wykryto jeszcze pod koniec 2006 r. Przy pomocy tego "uniwersalnego" kodu stworzono również Gpcode.ai.

Nowe wpisy i zależności między nimi znacznie rozszerzyły diagramy, które eksperci z Kaspersky Lab wykorzystywali w śledztwie.

Zła firma

Kolejnym etapem w badaniu było przeanalizowanie odsyłaczy w próbkach zawierających "uniwersalny" kod. Z wykrytego niedawno pliku wydobyto cztery odsyłacze - odsyłacze, które posłużyły szkodliwemu programowi do dostarczenia swojej szkodliwej funkcji:

http://81.95.149.28/logo/zeus.exe
http://81.95.149.28/logo/zupa.exe
http://myscreensavers.info/zupa.exe
http:/81.95.149.28/logo/fout.php