Złośliwe programy: bootkit na celowniku

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

Podmienione odsyłacze

Gdy już Kaspersky Lab ustalił, które strony i które odsyłacze powodowały restart komputerów użytkowników, mógł przeprowadzić bardziej szczegółową analizę.

Jak się okazało, szkodliwi użytkownicy zastosowali stosunkowo oryginalne (aczkolwiek nie nowe) podejście do wstrzykiwania odsyłaczy. Do stron, na które włamali się, nie dodali własnej ramki iframe czy też skryptów, ponieważ tego typu modyfikacje są bardzo łatwe do wykrycia. Zamiast tego w miejsce "legalnych" odsyłaczy wstawiali "szkodliwe".

Legalny odsyłacz wyglądał tak:

< a href="http://atm.n****.com" >< B >atm.n****.com< /B >< /a >

Po włamaniu się na stronę odsyłacz ten wyglądał tak:

< a href="http://***.com/cgi-bin/index.cgi?dx" >< B > atm.n****.com< /B >< /a >
Aby komputer został zainfekowany, użytkownik musiał nie tylko otworzyć stronę na zhakowanej witrynie, ale również kliknąć podmieniony odsyłacz. Eksperci zauważają, że w ten sposób liczba potencjalnych ofiar zmniejsza się, ale nieznacznie, szczególnie jeśli odsyłacze są podmieniane ręcznie i starannie wybierane przez szkodliwych użytkowników.

Informacje o witrynach, takich jak ***.com/cgi-bin/index.cgi?dx, zaczęły pojawiać się w Internecie mniej więcej na początku czerwca 2008 roku. Były to głównie skargi właścicieli witryny oraz użytkowników legalnych witryn dotyczące dziwnych odsyłaczy, które pojawiły się w zaufanych zasobach. Stało się jasne, że w Internecie znajdowało się wiele takich "centrów infekcji"; jednak mimo wielu różnych nazw domen wszystkie z nich utrzymywane były na wspólnych serwerach.

Spersonalizowane exploity

Co się stanie, gdy użytkownik kliknie podmieniony odsyłacz? Kaspersky Lab wyjaśnia, że zerwer przetworzy przychodzące zapytanie, uzyskując informacje o tym, z jakiej strony "przyszedł" użytkownik, jakiej używa przeglądarki, jakie zainstalował wtyczki, oraz zdobędzie adres IP użytkownika. Przy pomocy tych informacji serwer przydzieli użytkownikowi unikatowe ID, które zostanie następnie zapisane na serwerze.

Przykładem takiego ID przydzielanego odwiedzającemu przez zainfekowany serwer jest index.cgi@ac6d4ac70100f060011e964552060000000002e4f11c2e000300190000000006

Ostatnie cyfry ID pokazują, że użytkownik posiadał zainstalowaną szóstą wersję programu Acrobat Reader.

Dla każdego indywidualnego użytkownika tworzony jest następnie exploit. Jeśli na komputerze użytkownika zainstalowana jest podatna na ataki wersja Acrobata, na maszynę taką zostanie pobrany exploit PDF. Jeśli zainstalowany jest Real Player, zostanie pobrany exploit dla tego programu itd. W zależności od przydzielonego użytkownikowi ID serwer wygeneruje klucz zaciemniania, który zostanie wykorzystany w celu zaszyfrowania odpowiedniego exploita.