Спам "Одноклассников"

Avast Security Blogger 10 окт 2012

Спам "Одноклассников"

В последнее время мы заметили, что в наших URL-фильтрах с вредоносными программами появилось много легитимных доменов. Сначала мы думали, у нас большая проблема с ложными срабатываниями, но после анализа мы обнаружили некоторую закономерность.
Все ссылки пришли с сервера популярной социальной сети «Одноклассники». Пользователи этой сети получают поддельные сообщения со ссылками на фотографии.
Ссылки ведут на домены, которые выглядят совершенно невинно, и были зарегистрированы достаточно давно. Но все они являлись доменами 3 или 4 уровня, и привели к нескольким вредоносным IP-адресам: 69.197.136.99, 94.249.188.224 и 178.63.214.97, 94.249.189.21.

Все сайты, которые мы проверили имели домены второго уровня( xx.yy / www.XX.YY), ведущие на «чистые» легитимные сайты. Только 3-й уровень(ZZ.XX.YY) вел на вредоносные сайты. Сначала мы думали о краже паролей и модификации записей в DNS-хостинге(таком, как GoDaddy или таких, где подобные нападения были зафиксированы в прошлом). Но поскольку мы видели их слишком много, мы поняли, что нам нужно искать другое объяснение.

Тогда мы заметили, что все домены размещены на серверах afraid.org. Эта служба предоставляет бесплатный DNS-хостинг, что делает ее очень популярнай как для злоумышленников, так и для обычных пользователей. Ознакомиться с их реестром можно здесь(http://freedns.afraid.org/domain/registry/) - большая часть топовых доменов известна вирусным аналитикам как хостинг вредоносных программ. Но домены, которые мы нашли, не определенно были созданы для этой цели. Мы связались с владельцем сервиса и были удивлены тем фактом, что любой человек может зарегистрироваться и создать поддомен для любого из доменов, размещенных на afraid.org. Лично я считаю, что подобная свобода - это хорошо, но должна быть и ответственность.

Все эти ссылки на изображения вели к исполняемым файлам из семейства троянов Bicololo, которое мы впервые обнаружили более двух месяцев назад. Они имеют несколько характеристик: исполняемые файлы являются установщиками, в данном случае созданными с помощью Nullsoft Installer; всегда распаковываются 3 файла в директорию %PROGRAMFILES%\s1\s1 – .bat, .jpg и .exe – далее они выполняются в этом порядке. Наиболее важный файлы в атаке - .bat, в данном случае он называется "090909.bat"( http://www.virustotal.com/file/606d720d0447f00b1df527978174347762b5371160783816b1ed3524c6b66a8d/analysis/1347352288/). Этот файл добавляет IP-адреса и домены поддельных русских социальных сетей и почтовых сайтов - my.mail.ru, vk.com, odnoklassniki.ru, и т.д. - в %WINDIR%\System32\etc\hosts. Сам скрипт до определенной степени рандомизирован и использует различные имена переменных и под-строки, содержащие элементы пути и URL-адресов в каждом варианте трояна.

 


Файл .jpg – всего лишь изображение, как правило обнаженной девушки, взятое из социальных сетей.

Третий файл является исполняемым файлом, в нашем случае он называется "lublu_vinograd.exe"( http://www.virustotal.com/file/07a63db075fb163f46a6dee091ae5498cf574de6130872d4d99aaca24bbe4b16/analysis/). Этот файл создан в Borland Delphi и содержит в основном «мертвый» код из неопасного проект Delphi - в данном случае, "Chart FX 3", и статически прилинкованной библиотеки Indy для поддержки HTTP-соединений. Что на самом деле выполняется – это небольшой блок кода заглушки, добавленный к программе, который делает etc\hosts скрытым, создает новый, пустой файл в System32\Drivers\etc c названием "hоsts", где "о" является символом кириллицы. Таким образом, это считается, другим именем файла и служит прикрытием для скрытого инфицированных оригинала. Далее выполняется HTTP запрос к URL-адресу, собирающему статистику, так троян сигнализирует об успешном инфицировании автору этой вредоносной программы. Она не пытается размножиться или добавить себя в автозапуск.


Таким образом, на момент написания этого сообщения в блоге, целями этого вредоносного ПО являются перенаправление трафика крупных русских социальных сетей на IP-адреса серверов атакующих и кража данных учетных записей. После установки, когда зараженный пользователь посещает сайт социальной сети, он/она видит почти идеальную копию русской версии сайта, датированной 2011 годом(атакующие ламы забыли изменить год в копирайте на некоторых страницах и даже не пытаются использовать сервисы геолокации, чтобы обеспечить выдачу на языке пользователя, так vk.com отображается на английском языке при открытии из Праги; к тому же они забыли о последнем графический редизайне vk.com).

Настоящий VK.com



Поддельный VK.com


С последней версией вирусных баз, avast! Обнаруживает вредоносные файлы, блокирует доступ к скачиванию вирусов, а также блокирует доступ к серверам перенаправляющим на сайты злоумышленников.

Статьи по теме

--> -->