NOTĂ: Unele articole și pagini pot conține linkuri de afiliere. Susțineți acest blog cumpărând software prin aceste linkuri. Mulțumesc!
NOTE: Some articles and pages may contain affiliate links. Support this blog by purchasing software through these links. Thank you!
Într-un comunicat de presă recent, compania de securitate McAfee și Centrul Cyber European al Europol au anunțat punerea în aplicare a cooperării în lupta împotriva criminalității cibernetice. În general, cooperarea se va axa pe marile familii de malware.
Scrierea sau răspândirea de malware, chiar și în cazul campaniilor de mici dimensiuni este considerată infracțiune. McAfee Labs nu ezită în astfel de cazuri să ceară ajutorul partenerilor din rândul organizațiilor de tip CERT sau organismelor de aplicare a legii. În cazul de față, campania malware a fost anihilată destul de devreme datorită analizelor de date și al modului de acțiune.
În baza de date a McAfee s-a găsit un nou site, hxxp://virus-generator.hi2.ro. Ulterior, vizitarea link-ului s-a descoperit un ”open directory” care permitea navigarea conținutului.
Adesea, s-a observat faptul că autorii malware-ului au demonstrat exces de zel în atacarea victimelor, dar au ignorat protecția propriilor servere de malware.
Binarele care au ajutat la descifrarea procesului de funcționare a acestei campanii poartă denumirea de injector.exe și blurmotion.exe.
După cum sugerează numele, injector.exe compromite sistemul victimei prin injecție de cod în Internet Explorer. Primul pas este dezactivarea firewall-ului pentru asigurarea unei conexiuni nealterate cu server-ul de comandă și control.
Faptul că site-ul care generează infecția cu malware nu folosește nici un fel de autentificare are logică prin prisma faptului că se creează astfel o conexiune rapidă între victimă și atacator. De îndată ce payload-ul este descărcat, fișierul batch root.vbs preia comanda. Acest fișier este inserat de către injector.exe și se asigură de faptul că fișierul blurmotion.exe este executat.
Conform McAfee, s-au înregistrat conexiuni repetate făcute pe un site specific (mygarage.ro), cel mai probabil o încercare de a crește traficul acestuia. Autorul este așa de agresiv încât au încercat chiar să facă overclocking pe CPU pentru a genera și mai mult trafic către acest site. Autorul a reușit să facă acest lucru, din moment ce baza de date McAfee a identificat foarte multe redirect-uri către acest site.
Sursa: CERT.ro
NOTĂ: mygarage.ro este forumul magazinului online de produse IT și electronice PC Garage.
