Авторы вредоносных программ атакуют не только простых обывателей, но и птиц высокого полёта: сотрудников научных и государственных учреждений США. Такой вывод можно сделать из совместного отчёта Zscaler и Seculert (PDF). Эти две компании независимо друг от друга зафиксировали ряд инцидентов с попытками распространения программы, которую назвали MSUpdater.
MSUpdater представляет собой инструмент класса RAT — средство удалённого администрирования, которое пытались установить злоумышленники. Подобные инциденты начали регистрировать в 2009 году, и они продолжаются до сих пор.
Чтобы установить MSUpdater на компьютер жертвы, злоумышленники рассылают по электронной почте PDF-файл. В документе содержится приглашение посетить научную конференцию. Тематика конференции отличается, в зависимости от специализации жертвы: инженерная конференция IEEE, форум по мирному развитию Ирака, конференция по умным сенсорам, сенсорным сетям и информационной обработке (ISSNIP) и так далее.
При открытии PDF-файла активируется эксплоит, который использует уязвимость в программах Adobe (например, уязвимость нулевого дня CVE-2010-2883), после чего запускается процесс GoogleTray.exe
и с удалённого сервера mail.hfmforum.com/microsoftupdate/getupdate/default.aspx
на компьютер устанавливается ряд программ, поддерживающих связь с командным центром (C&C) по HTTP в зашифрованном виде.
Для маскировки программы под Microsoft Windows Update файл называется msupdate.exe
, а также используются соответствующие пути HTTP для командного сервера (например, /microsoftupdate/getupdate/default.aspx
). Например, команды могли передаваться в виде запроса HTTP GET такого вида:
/microsoftupdate/getupdate/default.aspx?ID=[num1]para1=[num2]para2=[num3]para3=[num4]
Здесь параметры передаются в полях [num].
Запросы HTTP GET и POST могли иметь и такой вид:
/microsoft/errorpost/default/connect.aspx?ID=[num1]
/microsoft/errorpost/default.aspx?ID=[num1]
При коммуникации по HTTP с командным сервером используются заголовки юзер-агента браузеров Internet Explorer 6, 7 и 8. Исходя из всех этих причин, троянская программа и получила название MSUpdater.