Kaspersky Lab: szkodliwe programy V 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy IV 2011

Szkodliwe oprogramowanie dla Win64

Nieustanny wzrost liczby instalowanych 64-bitowych systemów operacyjnych spowodował, że powstaje więcej szkodliwych programów dla tej platformy. Twórcy wirusów wciąż przekształcają istniejące szkodliwe aplikacje na wersję x64. Wersje popularnego rootkita TDSS dla systemu Win64 zostały wykryte już w 2010 roku. W maju 2011 roku brazylijscy cyberprzestępcy, jak również twórcy popularnego trojana ZeroAccess, “załapali ten trend”.

Brazylijskie trojany bankowe

W ciągu ostatnich kilku lat brazylijscy cyberprzestępcy specjalizowali się głównie w trojanach bankowych. W maju pojawił się pierwszy rootkit tego typu dla 64-bitowych systemów operacyjnych. Wykrywamy go jako Rootkit.Win64.Banker.

Cyberprzestępców interesowały loginy i hasła do systemów bankowości online. Podczas ataku próbowano przekierować użytkowników na strony phishingowe imitujące strony kilku banków. W tym celu modyfikowano plik HOSTS, wykorzystując rootkita infekującego system poprzez atak drive-by.

Cyberprzestępcy złamali zabezpieczenia brazylijskiej strony internetowej i umieścili w niej szkodliwy aplet Java zawierający, oprócz exploita, dwa pliki .SYS o tej samej funkcjonalności – jeden dla systemu Win32 i jeden dla Win64. Osoby atakujące użyły fałszywego certyfikatu i standardowego narzędzia bcdedit.exe w celu uruchomienia sterowników, które nie posiadały właściwych podpisów cyfrowych. Narzędzie bcdedit.exe zostało uruchomione z parametrami (“DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” oraz “type= kernel start= boot error= normal”), dzięki czemu pliki .SYS zostały skopiowane do standardowego foldera sterownika i zarejestrowane jako standardowe sterowniki podczas kolejnego uruchomienia systemu.

Po uruchomieniu szkodliwe sterowniki modyfikowały plik HOSTS, dodając przekierowania do stron phishingowych (użytkownicy byli przekierowywani podczas próby odwiedzenia stron bankowości online).

Trojan ZeroAccess

Do niedawna znana była tylko 32-bitowa wersja trojana ZeroAccess. Teraz pojawiła się również wersja 64-bitowa. Atak rozpoczyna się od zainstalowania na komputerze downloadera ZeroAccess za pośrednictwem drive-by download. Po określeniu, czy system jest 32- czy 64-bitowy, downloader pobiera odpowiednią wersję backdoora.

Jeżeli na komputerze zainstalowany jest 64-bitowy system operacyjny, zostanie pobrany instalator w wersji Win64.

W przeciwieństwie do swojego 32-bitowego “odpowiednika” 64-bitowa wersja backdoora nie zawiera rootkita. Jest ustawiona na automatyczne uruchomienie przy pomocy następującego klucza rejestracyjnego:

Dodatkowa funkcja szkodliwa (np. podmiana wyników wyszukiwania) zainstalowana na zainfekowanej maszynie przez szkodliwe oprogramowanie również jest przeznaczona dla platformy x64.