Złośliwe programy: bootkit na celowniku

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

W większości przypadków pobierane były exploity wykorzystujące luki w przetwarzaniu plików PDF, SWF oraz QuickTime. Lista luk w zabezpieczeniach wykorzystywanych przez szkodliwych użytkowników jest stosunkowo długa i nieustannie uaktualniana. Poniżej Kaspersky Lab wymienił najczęściej wykorzystywane luki w zabezpieczeniach:

• CVE-2007-5659
• CVE-2006-0003
• CVE-2006-5820
• CVE-2007-5779
• CVE-2008-1472
• CVE-2007-0018
• CVE-2006-4777
• CVE-2006-3730
• CVE-2007-5779
• CVE-2008-0624
• CVE-2007-2222
• CVE-2006-0005
• CVE-2007-0015

Po stworzeniu exploita dla danego użytkownika szkodnik zaczyna działać na zaatakowanej maszynie poprzez niezabezpieczoną aplikację. W czasie gdy exploit działa na komputerze, pobierany jest trojan dropper. Program ten wykorzystuje unikatowe ID użytkownika oraz klucz serwera, które są przechowywane w bazie danych serwera.

Z zewnątrz wszystko wygląda całkowicie nieszkodliwie i nie wzbudza żadnych podejrzeń: po uruchomieniu exploita serwer zwraca rzeczywisty adres strony, którą użytkownik chciał odwiedzić, oraz stronę, do której prowadzi podmieniony odsyłacz kliknięty przez użytkownika. Ofiara uzyskuje dostęp do zasobu, do którego chciała uzyskać dostęp, nie zdając sobie sprawy, że komputer został podłączony do innego serwera i zainfekowany.

Ponadto, jeśli użytkownik ponownie kliknie podmieniony odsyłacz, exploit nie zostanie ponownie uruchomiony, ani nie nastąpi kolejna próba infekcji - użytkownik zostanie natychmiast przekierowany na legalna stronę. Zainfekowany serwer prowadzi bazę danych odwiedzających, przez co żadne ID nie jest wykorzystywane dwukrotnie.

Powrót Neosploita

Na jakiej podstawie wygenerowane zostały "indywidualne" exploity dla użytkowników? Ku zaskoczeniu Kaspersky Lab, tu właśnie eksperci natknęli się na coś, co uważali za przeszłość: panel administracyjny Neosploit.

Pakiet exploitów Neosploit znany jest od około połowy 2007 roku, gdy zaczęto sprzedawać go na czarnym rynku za kilka tysięcy dolarów (od $1 000 do $3 000). Stanowił on poważną konkurencję dla innych zestawów malware, takich jak MPack oraz IcePack. Pod koniec 2008 roku pojawiły się informacje, jakoby znana grupa cyberprzestępców odpowiedzialna za stworzenie, dystrybucje i wsparcie Neosploita przestała istnieć.

Przedstawiciele tej grupy wydali następujące oświadczenie:

"Niestety, wspieranie naszego produktu nie jest już możliwe. Przepraszamy za wszelkie niedogodności, ale biznes to biznes i czas poświęcany temu projektowi nie przynosi korzyści. Przez ostatnie kilka miesięcy robiliśmy wszystko, aby zaspokoić potrzeby naszych klientów, jednak w pewnym momencie musieliśmy zaprzestać wsparcia. Byliśmy z wami przez 1,5 roku i mamy nadzieję, że był to dobry okres dla waszego biznesu".