Ewolucja złośliwego oprogramowania VII-IX 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2007

Czyżby nieznany oszust powrócił? Analitycy wirusów z firmy Kaspersky Lab znali już ten adres e-mail - użyto go w niektórych wariantach trojana LdPinch oraz bankerach - trojanach o wyraźnie rosyjskich powiązaniach.

Przeprowadzona przez zespół Kaspersky Lab analiza zaszyfrowanych plików pokazała, że w przeciwieństwie do tego, co podano w e-mailu, twórcy wirusów nie wykorzystali algorytmu RSA-4096, ale modyfikację algorytmu RC4. To znacznie ułatwiło zadanie specjalistom. W ciągu 24 godzin od wykrycia trojana szantażysty zdołano złamać klucz szyfrujący i dodać do antywirusowych baz danych Kaspersky Lab procedury deszyfrowania dla plików użytkownika.

Analiza tej nowej wersji Gpcode'a pokazała, że szkodnik ten posiada wiele funkcji. Oprócz szyfrowania Gpcode potrafił kraść dane użytkownika z zaatakowanej maszyny, wysyłać je na serwer zdalnego użytkownika oraz pobierać z niego określone pliki.

Zdawano sobie sprawę, że trojany wymuszające hasła stanowią poważne zagrożenie, i postanowiono bardziej szczegółowo zbadać najnowszy szkodliwy program o nazwie Gpcode.ai. Okazało się, że była to bardzo trafna decyzja.

Na tropie Gpcode.ai

Postanowiono skupić się na trzech głównych obszarach:

1. serwerze, na który trojan wysyłał dane i z którego pobierał pliki
2. adresie e-mail podanym w wiadomości pozostawionej na zaatakowanych maszynach
3. ciągu tekstowym zawartym w ciele trojana - "_SYSTEM_64AD0625_"

1. Serwer

Ustalono, że Gpcode.ai łączył się z serwerem za pomocą umieszczonego tam skryptu s.php. Ponadto, pobierał z serwera plik o nazwie cfg.bin. Plik ten stanowił zaszyfrowany zestaw instrukcji dotyczących tego, jakie informacje powinny zostać przechwycone z zaatakowanej maszyny (dane o koncie dla szeregu systemów płatniczych oraz bankowości).

Szkodnik ten analizowany był przez kilka firm antywirusowych. Alarm podnieśli przedstawiciele PrevX, którzy na serwerze szkodliwego użytkownika wykryli pliki pochodzące z 494 zaatakowanych maszyn. Firma ta podała następnie do wiadomości, że wśród ofiar szantażysty znajdowało się wiele dużych firm. Mel Morris, dyrektor generalny PrevX, ujawnił nawet ich nazwy: American Airlines, Booz Allen Hamilton oraz Amerykański Departament Stanu. Żadna z ofiar nie zdecydowała się skomentować decyzji Morrisa o ujawnieniu tych informacji.

Branża nie pochwalała tego kroku PrevX. David Perry z Trend Micro powiedział, że postanowienie PrevX o ujawnieniu szczegółów zaniepokoiło jego firmę. Największe firmy antywirusowe próbowały unikać podawania jakichkolwiek informacji (takich jak serwer czy adresy e-mail) dotyczących szkodliwych użytkowników, zatajając te szczegóły również w publikowanych opisach wirusa (mimo że nie zawsze im się to udawało). Jednak PrevX zdradził całemu światu nie tylko to, gdzie można uzyskać dostęp do prywatnych danych, ale również do kogo one należą.

Prawdziwą obławę przeżywał martin-golf.net - odwiedzany przez ekspertów ds. bezpieczeństwa, hakerów, przedstawicieli organów ścigania z różnych państw, jak również zwykłych ciekawskich. Badanie, które mogłoby zostać przeprowadzone, zostało przerwane - szkodliwi użytkownicy wiedzieli, że są obserwowani i pozwolili, aby obserwujący obserwowali obserwujących, a nie przestępców.

Z tego powodu ta linia śledztwa nie mogła przynieść rezultatów. Dlatego uwagę skierowano na adres e-mail.

2. E-mail

Eksperci z Kaspersky Lab chcieli dowiedzieć się, jak dokładnie wyglądała korespondencja między cyberprzestępcą a użytkownikiem skłonnym zapłacić pieniądze za przywrócenie swoich danych. Na jeden z adresów z programu trojańskiego wysłano więc e-mail o następującej treści: "Nazywam się John Brown. Moje ważne dane zostały zaszyfrowane. Dane te są mi pilnie potrzebne do opracowania raportu. Jeśli go nie skończę, mój szef mnie zabije".