Attacco “MPack” e Trojan.Srizbi

Posted on giugno 30, 2007. Filed under: News |

Sul blog ufficiale del Symantec Security Response è stato pubblicato un nuovo commento sul recente attacco che ha colpito numerosi siti italiani, condotto sfruttando la compromissione di pagine web e il toolkit malware MPack, per attaccare il browser di ignari visitatori e distribuire una varietà di codici nocivi.

Symantec aveva pubblicato un video offrendo una dimostrazione pratica dei rischi a cui vanno incontro gli utenti che malauguratamente si trovano a visitare un sito compromesso nell’ambito di questo attacco di cui abbiamo parlato ampiamente in tre news precedenti. Symantec mostra il funzionamento del codice exploit richiamato dall’IFRAME nocivo iniettato furtivamente nei siti compromessi, mostrando alcuni screenshot di siti compromessi, del codice HTML interessato, e di alcuni tool sfruttati dai cyber criminali per condurre l’attacco.

MPack: the Strange Case of the Mass-Hacking Tool

Dal nuovo intervento di Symantec: “Finora abbiamo visto i seguenti campioni di malware installati durante la navigazione su siti compromessi da MPack: Trojan.Anserin, Trojan che ruba informazioni relative ai conti bancari, Trojan.Linkoptimizer.B, un dialer Trojan, Backdoor.IRC.Bot, un IRC bot, Infostealer.Ldpinch, un Trojan che ruba informazioni di account e password e Trojan.Srizbi, uno spam Trojan.

Questi codici Trojan erano già presenti nel nostro database di malware, tuttavia un malware che abbiamo scoperto di recente, Trojan.Srizbi è davvero interessante in virtù di alcune sue caratteristiche uniche. Il driver di Trojan.Srizbi (windbg48.sys) ha due funzioni principali: nascondere se stesso utilizzando un rootkit ed inviare spam. Tuttavia la caratteristica che lo rende realmente unico è che si tratta probabilmente del primo malware “full-kernel” isolato “in the wild”. Una volta installato, il Trojan funziona senza alcun payload in modalità utente e svolge tutte le sue attività da modalità kernel, inclusa quella di inviare spam. Il codice rootkit non è nuovo: il driver nocivo si lega a \FileSystem\Ntfs per nascondere i file sul disco locale e inoltre modifica una tabella SDT per nascondere le chiavi di registro come rootkit più vecchi. Inoltre, il Trojan tenta di eliminare i file di log %System%\Minidump e sembra includere una routine speciale per rimuovere codici rootkit rivali, come wincom32.sys e ntio256.sys.

Trojan.Srizbi sembra fare un passo avanti in questo senso, lavorando totalmente in kernel-mode, senza iniettare nulla in user-mode. Per manipolare la connessione di rete direttamente in modalità kernel, il codice nocivo si collega ai driver NDIS e TCP/IP e ottiene tutte le funzioni Ndis* e Zw* necessarie, caratteristica unica di questa minaccia. Questa tecnica permette anche di bypassare gli strumenti firewall e sniffer, e nascondere così la sua attività di rete“. Syamntec ritiene che Trojan.Srizbi sia ancora in fase beta e che lo sviluppo del malware non sia completato. Secondo l’azienda di sicurezza l’autore di Trojan.Srizbi potrebbe essere lo stesso di Rustock, considerato il codice polimorfico utilizzato, molto simile al packer di Backdoor.Rustock.B, ma più avanzato. Gli utenti possono scoprire di essere infetti cercando questa chiave non nascosta:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RcpApi\”MachineNum” = “[6 CIFRE CASUALI-6 CIFRE CASUALI -2 CIFRE CASUALI]”

Fonte.

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: