Backdoor.Win32.Sinowal

Backdoor.Win32.Sinowal — буткит, похищающий конфиденциальную информацию пользователя. Является приложением Windows (PE-EXE файл). Является загрузочным вирусом. Был обнаружен в конце марта 2009 года. Размер инсталлятора может варьироваться в пределах от 300 до 460 Кб.

Инсталляция

При запуске инсталлятор записывает зашифрованное тело буткита в последние сектора жесткого диска, находящиеся за пределами используемого операционной системой дискового пространства. Для обеспечения автозагрузки буткит заражает MBR компьютера, записывая в него свой начальный загрузчик, который до старта операционной системы считывает с диска и разворачивает в памяти основное тело руткита, после чего отдает управление ОС и контролирует процесс её загрузки.

Маскировка в системе

Для скрытия своего присутствия в системе и предотвращения обнаружения антивирусными программами данный бэкдор перехватывает доступ к диску на уровне секторов. Для этого вредоносная программа подменяет обработчик запроса ввода-вывода IRP_MJ_INTERNAL_DEVICE_CONTROL в последнем драйвере стека загрузочного диска.

Поскольку злоумышленники никогда ранее не обращались к таким технологиям, то ни один из существовавших антивирусных продуктов на момент появления Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

Деструктивная активность

Бэкдор скачивает с сайтов злоумышленника модуль-дополнение, содержащий шпионский функционал, и внедряет его в запущенные в системе процессы пользователя. Шпионский модуль перехватывает следующие системные функции поддержки шифрования:

  • CryptDestroytKey
  • CryptEncrypt
  • CryptDecrypt

и похищает все используемые в системе ключи шифрования, а также шифруемые и дешифруемые данные. Собранную информацию руткит отправляет на сайт злоумышленника. Бэкдор использует технологию постоянной миграции серверов злоумышленника, для чего используется специальный алгоритм генерации доменного имени в зависимости от текущей даты.

Метод распространения

На настоящий момент в основном распространение ведется через три типа ресурсов:

  1. взломанные сайты;
  2. порно-ресурсы;
  3. ресурсы, которые распространяют вредоносное ПО;

При этом на ресурсах используется скрипт, который начинает первый этап инфицирования жертвы. Переадресация производится на IP, который отныне — домен, на который переадресовывается жертва, генерируется скриптом. Генерация происходит на основе даты, которая установлена на компьютере-жертве.

Ещё одной технологией, относящейся к распространению, можно назвать cookies, которые вирус оставляет на жертве. Длительность жизни этих cookies составляет 7 дней. Делается это для того, чтобы идентифицировать жертву при повторном запуска скрипта. Cookies проверяются, и если скрипт выявляет, что компьютер уже был под действием бэкдора, то переадресация не происходит.

Обнаружение и лечение

Обнаружение и лечение данного руткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. Но на сегодняшний день данный вирус лечится почти всеми ведущими антивирусными программами.

Ссылки
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.