Trojan Duqu - nowe wątki
2011-11-18 10:16
Przeczytaj także: Ukierunkowane ataki trojana Duqu
Nadawca e-maila, Jason B., okazał się bardzo wytrwałą osobą. Wiadomość nie została wysłana masowo, ponieważ zarówno w temacie jak i w nazwie pliku wymieniono atakowaną firmę.
W obu przypadkach e-mail został wysłany z tego samego adresu IP, zlokalizowanego w Seulu, w Korea Południowa. Według nas komputer został wcześniej zainfekowany przez szkodliwy program i wykorzystany (bez wiedzy właściciela) jako proxy.
Drugi atak okazał się skuteczny: adresat otworzył załączony plik DOC, który zawierał exploita wykorzystującego luki w zabezpieczeniach oraz instalator trojana.
fot. mat. prasowe
Zainfekowany plik DOC
Osoby atakujące zastosowały na tym etapie interesujący fortel. Zaraz po otwarciu pliku przez adresata exploit zaczynał swoje działanie: stawał się aktywny, rezydując w pamięci, ale nie robił nic! W międzyczasie mógł zostać zamknięty zarówno oryginalny plik szkodnika jak i sam plik Worda.
Ten okres braku aktywności trwał około dziesięciu minut, po czym exploit czekał na koniec aktywności użytkownika (brak aktywności z wykorzystaniem klawiatury czy myszki). Dopiero wtedy dropper zaczynał działać.
Znaleziony wariant droppera różni się nieco od droppera znalezionego przez węgierskie laboratorium Crysys i opisanego przez Symanteca. Jednak różnice te dotyczą głównie rozmiarów i dat stworzenia tego komponentu.
fot. mat. prasowe
Wariant droppera - schemat
Exploit -> jądro -> sterownik w jądrze -> loader dll w services.exe -> duży plik konfiguracyjny w services.exe -> duży plik konfiguracyjny instalujący się z lsass lub procesu AV.
oprac. : Katarzyna Sikorska / eGospodarka.pl
Przeczytaj także
-
Trojan Duqu: nieznany język programowania
-
Nowy trojan Duqu
-
Jakie aplikacje podatne na ataki hakerskie?
-
Szkodliwy program Stuxnet "umarł"
-
Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"
-
Guloader najczęściej wykrywanym złośliwym programem w Polsce
-
Nowa fałszywa aktualizacja Flash Player
-
Botnety coraz groźniejsze
-
Kaspersky Lab: szkodliwe programy III kw. 2013