Эволюция вредоносных программ показывает, что их авторы идут на шаг впереди разработчиков антивирусов, пишут специалисты из Dell SecureWorks. По их мнению, сейчас наметилась тенденция, когда вирусы всё активнее используют публичную интернет-инфраструктуру: информация передаётся через социальные сети, обычные файлохостинги, облачные сервисы и т.д.

Вредоносный код спрятан в двух bitmap-файлах
Вредоносный код спрятан в двух bitmap-файлах

Чтобы обойти антивирусы, некоторые зловреды ещё раньше использовали графические изображения для передачи информации. Но обычно они просто добавляли код в середину или конец файла. Новый дроппер Lurk поступает хитрее. Во-первых, перед установкой на компьютер он проверяет его на наличие антивирусов и не устанавливается в случае опасности. Во-вторых, потом он загружает полезную нагрузку из bitmap-файлов и отправляет информацию об успешном заражении на командный сервер.

А затем начинается самое интересное. Адреса URL на новые командные серверы и модули для скачивания прячутся в зашифрованном в картинках, которые приходят с сервера. Поскольку антивирус не может расшифровать эти данные, то картинки не считаются вредоносным трафиком.

Пример реального файла со спрятанным URL
Пример реального файла со спрятанным URL

Для кодирования используется последний бит в каждом байте информации.

  • 0xff = 11111111

  • 0xfe = 11111110

Искажение картинки выходит совершенно неразличимое на глаз: в каждом пикселе изменяется всего по одному биту каждый цветовой канал. Например, в белой картинке сверху закодирован адрес hxxp://zvld.alphaeffects.net/d/1721174125.zl.

Изменённый код показан на скриншоте красным цветом.

004

Скачав новый модуль по полученному адресу, Lurk готов к работе. Этот дроппер могут использовать для установки на компьютеры различных вредоносных программ, на усмотрение владельцев.



10 комментариев

  1. 12.08.2014 at 01:09

    Только сегодня вечером на Маке заметил такую фигню. Решил, что глючат дрова нвидиовские — как раз планировал ось переставить. Странное совпадение.

  2. http://alfafenix.ru/

    12.08.2014 at 08:37

    Хм, классная уловка, странно что её только сейчас начали использовать, ведь этот метод уже давно использовался на различных хакерских конкурсах.

    • 12.08.2014 at 09:48

      ага, вот так все взяли и признались, кто и с какого года пользуется данным методом.

  3. 12.08.2014 at 13:16

    При таком прогрессе, глядишь, я и за свою
    Убунту побаиваться начинаю.

    • 12.08.2014 at 19:11

      Тебе не надоело выебываться своим линуксом? Поставил линукс и считаешь себя не таким как все,да? Таких не таких как все миллионы. Угомонись уже дитя,тут никого не волнует что у тебя за ось стоит. И больше не сри мне тут,сука.

  4. 12.08.2014 at 18:32

    я так понимая что сначала нужно заразить комп бинаркой вируса, а потом картинки уже идут. Иными словами, смысл тот, что запросы идут через картинки, а заражение через бинарный файл, так ведь?

    • 12.08.2014 at 21:29

      Из центрального серва надо команды доставать. Эти «команды» и идут через картинки. Возможно там еще какие-то модули для вируса, всякое такое…

  5. 12.08.2014 at 20:48

    Охуеть.

    Видел такой метод хранения информации в фотографиях (Для кодирования используется последний бит в каждом байте информации.) на одном из нетсталкерских формуов, только там изображения оставались такими же, и их не пидорасило. Алсо если кому интересно — могу скинуть

    lugidas@mail.ru

  6. 16.08.2014 at 22:45

    Небольшие странности в тексте: сначала пишется, что Lurk проверяет машину на наличие антивирусов и не устанавливается в случае опасности. Имеется ввиду, что заражения не происходит при наличии установленного антивируса? Если да, то странность #2: «…Поскольку _антивирус_ «. Вводит в замешательство. Как правильно понимать оба предложения?

Оставить мнение