На прошлой неделе в открытый доступ попал внутренний документ ФБР, он содержит анализ вредоносной программы, с помощью которой была «поставлена на колени» компания Sony Pictures.

В описании сказано о «деструктивном зловреде, использованном неизвестными операторами». Он способен стирать все данные на заражённых компьютерах под Windows и распространяться по сети для атаки серверов под Windows. Для распространения используются встроенная в операционную систему служба обмена файлами.

Представители компании Sony Pictures охарактеризовали программу как «очень сложную», а независимые эксперты из Mandiant подтвердили, что на момент распространения она не определялась антивирусами.

После установки на компьютер программа связывается с командным сервером через интернет. Хотя следователям удалось установить сигнатуру командного трафика, но вряд ли это поможет выявить зловред, потому что подключение к C&C-серверу происходит уже после того, как начался процесс удаления файлов.

Экспертам не удалось пока установить, как происходило первоначальное заражение. При установке дроппер запускался как Windows-сервис и создавал сетевой диск с помощью переменной “%SystemRoot%”. К сетевому диску открывался доступ со всех компьютеров в локальной сети. Потом программа запускала командную строку Windows Management Interface (WMI), чтобы распространить файлы с сетевого диска на другие компьютеры.

Анализ зловреда Trojan.Win32.Destover.a опубликован в базе Malwr. В соответствии с ним, дроппер связывался с несколькими IP-адресами, вероятно, расположенными в Японии (возможно, это связано с расположением штаб-квартиры Sony).

Дроппер устанавливал файл, схожий по названию с Internet Information Server (IIS), iissrv.exe, который прослушивал TCP/IP на порту 80 и в реальности является миниатюрным веб-сервером. Именно он показывал на экране картинку JPEG и текст во время удаления файлов.

В определённый момент (возможно, по указанию от C&C-сервера) запускался файл igfxtrayex.exe, который и осуществлял удаление файлов сектор за сектором, предварительно связавшись с несколькими IP-адресами в Италии, Таиланде и других странах (вероятно, это адреса взломанных VPN и прокси). После удаления файлов с помощью дискового драйвера EldoS компьютер уходил в спящий режим на два часа, после чего перезагружался.

Специалисты предупреждают, что перед такой атакой уязвимы все компании, которые используют серверы под Windows.



9 комментариев

  1. 08.12.2014 at 16:57

    Он способен стирать все данные на заражённых компьютерах под Windows и распространяться по сети для атаки серверов под Windows.

    Очень хорошая и нужная программа.

    Специалисты предупреждают, что перед такой атакой уязвимы все компании, которые используют серверы под Windows.

    Так вам, виндузятнечки, и надо.

  2. 09.12.2014 at 10:29

    Настоящих защитников прав животных вы легко сможете отличить по их ненависти к людям, Настоящих линуксоидов по ненависти ко всем другим ОС.

  3. 09.12.2014 at 10:39

    ДаУн их проста не было КаСпЕрЫчА. Не поставили они себе кАсПеРьIч, а зря.
    А надо как было? Приходит письмо фишинговое, допустим, ну как обычно, для лохов всяких, а там голая девка во вложениях. И тут КАК встань КАСПЕРЫЧ, и никаких проблем, и даже комплексов глупых. А у них не встал, ну йх и поставили в коленно-локтевую, и вполне заслуженно. А ведь был выбор.

  4. 09.12.2014 at 11:36

    Интересно было бы узнать, откуда у этой поделки права на установку драйверов взялись.

  5. 09.12.2014 at 16:17

    Все правильно сделал!

  6. 03.03.2015 at 15:57

    такое впечатление, что комментарии пишет один и тот же человек

Оставить мнение