Złośliwe programy: bootkit na celowniku

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

Jeżeli nie jest możliwe połączenie się z centrum kontroli, bot użyje specjalnego algorytmu, aby wygenerować nazwy domen .com, .net oraz .biz. Liczba wygenerowanych nazw domen zależy od aktualnej daty i czasu. Backdoor próbuje połączyć się z każdą z tych domen i wysłać specjalnie utworzony pakiet jako klucz autoryzacji.

Jak tylko jedna z domen okaże się tą "właściwą" (np. zaakceptuje pakiet i odpowie przez wysłanie własnego unikatowego pakietu), bot połączy się z nią jako klient botnetu i zacznie szyfrować komunikację z centrum kontroli. Z reguły w wyniku tej komunikacji na maszynę ofiary pobierany jest dodatkowy moduł (DLL).

Moduł szpiegujący

Od początku 2008 roku botnet zbadało wielu ekspertów z branży, jednak badanie ograniczyło się do części rootkita i prób wyjaśnienia, w jaki sposób funkcjonuje botnet. Badanie to - którego wyniki są znane ekspertom - nie dało odpowiedzi na najważniejsze dla nas pytania: "Dlaczego?" lub, mówiąc inaczej: "gdzie w tym wszystkim są pieniądze?"

Opisując historię bootkita, Kaspersky Lab chciał nadać ostateczne szlify. W tym celu musiał dokładnie zrozumieć, co tak wyrafinowany bootkit ukrywał w systemie.

Po tym, jak maszyna ofiary połączy się z centrum kontroli botneta, uzyskuje zaszyfrowany pakiet o rozmiarze przekraczającym 200KB. Następnie bootkit odszyfrowuje ten pakiet, wewnątrz którego znajduje się plik DLL, który bootkit ładuje do pamięci, a który nie istnieje jako plik na dysku!

W rezultacie bootkit sprawia, że załadowany DLL jest niewidoczny podczas analizy systemu przy użyciu tradycyjnych metod. Jest również niewidoczny dla większości programów antywirusowych. Naturalnie, ładowanie kodu do pamięci oznacza, że podczas powtórnego uruchamiania systemu kod znika, przestaje istnieć, a system staje się czysty (z wyjątkiem obecności bootkita w systemie). Ma to jednak pewne plusy: program antywirusowy, który skanuje pamięć podczas startu systemu operacyjnego nie wykryje niczego podejrzanego - z tej prostej przyczyny, że nie ma niczego podejrzanego do wykrywania. Jednak, jak tylko komputer połączy się z Internetem, bootkit nawiązuje połączenie z centrum kontroli i ładuje DLL na maszynę ofiary.

Co robi DLL?

Aby odpowiedzieć na to pytanie Kaspersky Lab postanowił przyjrzeć się historii Sinowala (tak bowiem klasyfikuje tego bootkita). Pod koniec 2007 roku, gdy pojawił się bootkit, nazwa ta była już stosowana: duża liczba trojanów szpiegujących służących do kradzieży danych (głownie danych dostępu do kont bankowości online) otrzymywała nazwę Trojan-Spy.Win32. Sinowal.

Podczas analizy bootkita eksperci zauważyli, że algorytm zaciemniania ciała bootkita był identyczny z algorytmem zaciemniania wykorzystywanym przez trojana o nazwie Trojan-Spy.Win32.Sinowal. W końcu doszli do wniosku, że autorzy bootkita i trojana szpiegującego to te same osoby. Przed przeprowadzeniem szczegółowej analizy DLL podobieństwo między użytymi algorytmami zaciemniania było jedynym potwierdzeniem, że te dwa szkodliwe programy pochodzą z tego samego źródła.

Gdy specjaliści wydobyli ukryty DLL z pamięci komputera i zbadali, w jaki sposób działa, nie mieli już wątpliwości: DLL jest identyczny z trojanem Trojan-Spy.Win32.Sinowal i wykonuje te same funkcje co trojan szpiegujący.

Po autoryzacji botnetu w sieci na maszynę ofiary pobierany jest moduł DLL, którego celem jest kradzież haseł i przechwytywanie ruchu sieciowego.

Sinowala można nazwać uniwersalnym złodziejem. Po tym, jak znajdzie się w systemie, natychmiast zaczyna skanować w celu znalezienia wszystkich dostępnych haseł do szeregu różnych aplikacji.