Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

W rezultacie, na zaatakowanej maszynie pojawiłby się plik o nazwie ntos.exe (nazwa dobrze znana analitykom wirusów). Plik ten wykorzystywany był do instalowania Gpcode.ai w systemie. Spodziewając się najgorszego, w postaci nowego programu szyfrującego, zaczęto szczegółowo analizować ten plik.

Okazało się jednak, że program ten nie jest wariantem Gpcode. Ta nowa wersja Bancos.aam była pierwszym trojanem szpiegującym stworzonym w celu kradzieży danych użytkowników rosyjskiego systemu QUIK.

QUIK jest pakietem aplikacji zapewniającym dostęp online do systemów giełd papierów wartościowych. Składa się z aplikacji po stronie serwera oraz terminala po stronie klienta, które komunikują się ze sobą za pośrednictwem Internetu.

Uzyskiwanie przez cyberprzestępców dostępu do kont bankowych to zjawisko występujące już od dłuższego czasu. Jednak kradzież danych umożliwiających dostęp do internetowych giełd papierów wartościowych to coś nowego.

Trojan ten skanował zaatakowaną maszynę w poszukiwaniu plików o nazwie secring.txk, pubring.txk oraz qcrypto.cfg zawierających zapisane parametry dostępu do systemu QUIK. Dane z tych plików wysyłane były następnie z powrotem na serwer.

Wiedząc dokładnie, jakich plików szukał program szpiegujący, po raz kolejny przeszukano kolekcje wirusów Kaspersky Lab. Znaleziono kolejne pięć wariantów trojana, z których pierwszy pochodził z początków lipca. W rezultacie, wszystkie te programy zostały zaklasyfikowane do nowej rodziny o nazwie Trojan-PSW.Win32.Broker.

Trojany te wykazywały zadziwiające podobieństwo do trojana Gpcode.ai pod względem kodu. Różnice polegały na tym, że jeden kradł dane, drugi szyfrował dane. Po raz kolejny natrafiono na "uniwersalny" kod.

Wstępne wyniki

Do pierwszego sierpnia eksperci z Kaspersky Lab ustalili następujące fakty:

• Gpcode.ai wykorzystywał "uniwersalny" kod i kontaktował się ze stroną martin-golf.net
• Bancos.aam wykorzystywał "uniwersalny" kod i pobierał pliki hostingowane przez firmę Russian Business Network (RBN)
• Niektóre z botnetów Zunkera, które już wykryto, były hostingowane w zasobach RBN
• Botnety Zunkera działają jak centra dowodzenia dla downloaderów, które pobierają programy podobne do Bancos.aam/Gpcode.ai
• Wśród szkodliwych programów, które mogą być zarządzane przez Zunkera, znajduje się downloader Zunker, program szpiegujący Bzub i prawdopodobnie robak Zhelatin (Storm)
• Jeden z takich botnetów został wykorzystany do rozprzestrzeniania robaka Warezov

Wciąż jednak brakowało jednego kawałka układanki - kim był autor "uniwersalnego" kodu, tak powszechnie wykorzystywanego w tak wielu różnych szkodliwych programach? Czy za te wszystkie incydenty odpowiedzialna była ta sama grupa twórców wirusów?

Wiele czasu poświęcono na czytanie różnych stron oraz forów hakerskich, w większości w języku rosyjskim. Stopniowo sytuacja zaczynała się wyjaśniać.