Третья эпидемия

50720590

Опять какой-то Crisis

Crisis — именно такая строка содержалась внутри кода очередного образца вредоносной программы, обнаруженного компанией Intego в июле 2012 года на известном сайте проверки подозрительных файлов VirusTotal. Подобный образец был прислан также в компанию «Доктор Веб». Crisis был кросс-платформенным трояном и мог инсталлироваться на компьютеры как с ОС Windows, так и с OS X. В то время Crisis не был обнаружен in the wild, да и Kaspesrky Lab в своей сети Kaspersky Security Network, работающей на базе компьютеров с установленным антивирусом Касперского, ничего похожего не детектировал. Так что был сделан вывод, что Crisis — инструмент для проведения точечных атак. В настоящее время существуют несколько образцов, которые отличаются используемыми внутри себя именами файлов.

Инфицирование компьютера начинается с запуска вредоносного Java-апплета с названием AdobeFlashPlayer.jar, который имеет цифровую подпись, созданную при помощи самоподписанного сертификата, якобы принадлежащего компании VeriSign. Если пользователь будет достаточно беспечен, он, несмотря на все предупреждения системы о недоверенном сертификате, нажмет кнопку «Принять», что и приведет к внедрению вредоноса в систему. В зависимости от целевой платформы, из Java-апплета извлекается, сохраняется на диск и запускается установочный модуль Win или Mac-архитектуры. Стоит заметить, что Crisis не использует для своей работы никаких эксплойтов уязвимостей. Это, вероятно, сделано для затруднения будущих детектов по сигнатуре эксплойта. Кроме того, после массового пропатчивания уязвимостей Crisis перестал бы нормально запускаться. Атак все работает — социальная инженерия рулит! К тому же недостаток эксплойтов с лихвой перекрывается встроенным функционалом слежения за деятельностью пользователей зараженных компьютеров. Вот краткий перечень:

download и upload произвольных файлов;

запуск исполняемых файлов;

аудио- и видеосъемка с использованием обнаруженных микрофона и веб-камеры;

запись нажатий клавиш клавиатуры;

сохранение содержимого буфера обмена;

снятие скриншотов экрана;

кража информации из адресных книг;

слежение за активностью пользователя в браузере;

перехват сообщений в приложениях Instant Messenger и Skype;

получение Wi-Fi-информации (в Windows-версии), такой как идентификатор сети SSID и мощность сигнала RSSI, это позволяет определять расположение зараженного компьютера.

Для автозапуска Crisis использует сходную с FlashFake методику использования Scripting Additions — ссылка на основной модуль IZsROY7X.- MP помещается в файл com.apple.mdworker.plist, что обеспечивает передачу ему управления при запуске любого приложения. Режим установки руткита определяется специальной переменной — символьной строкой, принимающей значения «Ah56K» или «Ah57K». Одно из этих значений жестко задавалось в коде в виде константы. При значении «Ah57K» производится попытка установки руткит-компонента из-под учетной записи с ограниченными правами путем запроса у пользователя пароля через подложную форму. Эта форма отображала иконку «System Preferences», которая содержалась в TIFF-файле qA5tyh. При значении «АпббК» руткит устанавливался, только если пользователь сидел под рутом.

Функционально версии Crisis для Mac и Win почти идентичны, но Win.Crisis имеет несколько дополнительных фишек, о которых стоит упомянуть. Шпионский функционал дополнен кражей информации пользователя из facebook.com (друзья), twitter.com (фолловеры) и gmail.com (мыло), вероятно, для использования в методах социальной инженерии. Windows-версия имеет механизмы самораспространения. В частности, Win.Crisis заражает мобильные устройства под управлением Windows Mobile и Windows Embedded (но не Windows Phone) и распространяется через USB Flash носители, используя метод Stuxnet — уязвимость в обработке ярлыков MS10-046. Кроме того, заражаются образы виртуальных дисков VMware. Остается только догадываться, зачем нужна такая функция, но она есть.

Для инфицирования виртуальных машин в файле %UserProfile%\ Application Data\VMware\preferences.ini ищутся строки, ссылающиеся на файлы.vmx, которые содержат параметры отдельных виртуальных машин. Файл .vmx парсился для получения имени файла .vmdk, найденный файл монтировался как диск Z при помощи утилиты командной строки VMware vixDiskMountServer.exe, и на него записывался инсталлятор по путям Z:\ProgramData\Microsoft\ Windows\Start Menu\Programs\Startup\(nMfl файла) — для Windows Vista/Seven и Z:\Documents and Settings\AII Users\Start Menu\ Programs\Startup\(HMfl файла) — для Windows XP. Правда, процедура для XP терпела неудачу, возможно, это баг разработчиков.