Złośliwe programy: bootkit na celowniku

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

Zdaniem Kaspersky Lab takie nagłe "zamknięcie interesu" oznacza zazwyczaj, że organy ścigania prowadzą dochodzenie przeciwko grupie lub przestępcy planują coś "większego" i przygotowują sobie alibi. Ostatnią wersją Neosploita, stworzoną i sprzedawaną przed rozwiązaniem grupy, była wersja 2.0.17. Jednak na serwerze odpowiedzialnym za generowanie exploitów eksperci odkryli panel administracyjny Neosploita w wersji 2.0.23.

Panel administracyjny Neosploita, który został użyty do generowania exploitów, tworzenia i zarządzania bazami danych zainfekowanych użytkowników itd., jest plikiem wykonywalnym napisanym w języku programowania C++ i skompilowanym w taki sposób, aby mógł działać w systemach Linux i FreeBSD.
Neosploit miał być umieszczany na stronach hostingowych i skonfigurowany w sposób zapewniający maksymalnie szybką instalację i uruchomienie. Jednak, z wykorzystywaniem Neosploita wiąże się jeden poważny problem, polegający na tym, że jest to produkt "komercyjny". Problem sprowadza się do tego, że zakupione wydanie Neosploita może być wykorzystywane tylko dla ograniczonej liczby połączeń - podobnie jak w przypadku produktów shareware, które mogą być wykorzystywane tylko do określonego momentu.

Każda próba zainfekowania użytkownika i wygenerowania exploita powoduje, że serwer Neosploit łączy się z serwerem, który prawdopodobnie rejestruje liczbę połączeń (w momencie przeprowadzania analizy serwer był zlokalizowany na Ukrainie). Autorzy Neosploita mogą monitorować wykorzystywanie swoich tworów i/lub opłaty za swoje usługi na podstawie liczby zainfekowanych użytkowników. Możliwe, że jeżeli nie będzie można nawiązać połączenia z serwerem, exploit nie zostanie wygenerowany, a użytkownik nie zostanie zainfekowany.

Bootkit

Po załadowaniu się do systemu trojan dropper uruchamia się poprzez niezabezpieczoną aplikację, wypakowuje z siebie program instalacyjny bootkita i wysyła do niego unikatowe ID użytkownika.

Następnie instalator modyfikuje sektor rozruchowy i umieszcza w sektorach dysku twardego główne ciało szkodliwego programu.

Przykład wpisu w obszarze startowym dysku:

CreateFileA("\\.\RealHardDisk0", GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0x0, 0x0)

Jeżeli wszystkie te działania zostaną pomyślnie wykonane w systemie, trojan dropper przesyła polecenie ponownego uruchomienia komputera. To właśnie ten nieoczekiwany restart systemu, który ma miejsce w czasie gdy użytkownik jest on-line, wzbudził podejrzenie użytkowników, którzy usiłując dociec, co się dzieje, zaczęli pisać o tym na forach.

Po powtórnym uruchomieniu komputera bootkit przechwytuje szereg funkcji systemowych i zaczyna działać w systemie - ukrywając swoje działanie i funkcjonując jako bot w sieci zombie.