Лаборатория PandaLabs сообщает об усложненной «цепной» атаке, выполняемой с помощью троянца SpamNet.A.
Троянец был обнаружен на веб-странице, размещенной на сервере в США, с доменом, зарегистрированным на адрес в Москве. Атака отличается высокой сложностью, использующей структуру «дерева» для внедрения на компьютеры до 19-ти видов вредоносного ПО. Ее основной целью является рассылка спама, и, используя данную структуру, на настоящий момент троянцем собрано более 3 миллионов электронных адресов по всему миру.
Цепочка заражения начинается, когда пользователь посещает веб-страницу, упомянутую выше. Эта веб-страница использует тэг Iframe для попытки открытия двух новых страниц. Что запускает два параллельных процесса, каждый ассоциированный с одной из двух страниц: 

Когда открывается первая из двух страниц, она в свою очередь открывает шесть других страниц, которые перенаправляют пользователя на несколько страниц с порнографическим содержимым. Они также открывают седьмую страницу, которая начинает основной процесс атаки. Эта страница пытается эксплуатировать две уязвимости для выполнения своих действий: Ani/anr и Htmredir. При успешной эксплуатации любой из них, страница устанавливает и запускает один из двух идентичных файлов (Web.exe или Win32.exe) на компьютере. 

При запуске эти файлы создают семь файлов на компьютере, один из которых является собственной копией. Другие шесть файлов следующие: 

— Первые два — бинарно-идентичные копии троянца Downloader.DQY, и оба создают в операционной системе файл под названием svchost.exe, который в действительности является троянцем Downloader.DQW. Он регистрируется как системная служба, которая каждые десять минут пытается скачать и запустить файлы с четырех различных веб-адресов, два из которых были недоступны на время написания. 
— Третий из шестерки файлов — рекламная программа
Adware/SpySheriff. 
— Четвертый — троянец Downloader.DYB, который пытается определить ID компьютера. Если компьютер находится в Великобритании, он скачивает и запускает дозвонщика Dialer.CHG. Если он не в Великобритании, он скачивает другой файл, идентифицированный как Dialer.CBZ. Эти типы файлов перенаправляют dialup-подключения пользователей на дорогостоящие телефонные номера. 
— Пятый файл — Downloader.CRY, создает два файла. Первый из них svchost.exe, создается в c:\windows\system. Второй был идентифицирован как
Lowzones.FO. 
— Шестой, Downloader.EBY, создает, в свою очередь, другие шесть файлов: 

Вторая страница перенаправляет пользователя на другую, которая пытается использовать уязвимость ByteVerify для запуска файла, расположенного на URL. Она также открывает новую страницу, используя HTML тэг — эта страница была недоступна на время написания статьи. 

Она также открывает другую страницу, чей код маскируется функцией Javascript, которая использует функцию ADODB.Stream для перезаписи проигрывателя Windows Media Player файлом, расположенным на другой странице.



Оставить мнение