Авторы вредоносных программ атакуют не только простых обывателей, но и
птиц высокого полёта: сотрудников научных и государственных учреждений
США. Такой вывод можно сделать из совместного отчёта Zscaler и Seculert
(PDF). Эти две компании независимо друг от друга зафиксировали ряд
инцидентов с попытками распространения программы, которую назвали
MSUpdater.
MSUpdater представляет собой инструмент класса RAT — средство
удалённого администрирования, которое пытались установить
злоумышленники. Подобные инциденты начали регистрировать в 2009 году, и
они продолжаются до сих пор.
Чтобы установить MSUpdater на компьютер жертвы, злоумышленники
рассылают по электронной почте PDF-файл. В документе содержится
приглашение посетить научную конференцию. Тематика конференции
отличается, в зависимости от специализации жертвы: инженерная
конференция IEEE, форум по мирному развитию Ирака, конференция по умным
сенсорам, сенсорным сетям и информационной обработке (ISSNIP) и так
далее.
При открытии PDF-файла активируется эксплоит, который использует
уязвимость в программах Adobe (например, уязвимость нулевого дня
CVE-2010-2883), после чего запускается процесс GoogleTray.exe и с удалённого сервера mail.hfmforum.com/microsoftupdate/getupdate/default.aspx на компьютер устанавливается ряд программ, поддерживающих связь с командным центром (C&C) по HTTP в зашифрованном виде.
Для маскировки программы под Microsoft Windows Update файл называется msupdate.exe , а также используются соответствующие пути HTTP для командного сервера (например, /microsoftupdate/getupdate/default.aspx ). Например, команды могли передаваться в виде запроса HTTP GET такого вида:
/microsoftupdate/getupdate/default.aspx?ID=[num1]para1=[num2]para2=[num3]para3=[num4]
Здесь параметры передаются в полях [num].
Запросы HTTP GET и POST могли иметь и такой вид:
/microsoft/errorpost/default/connect.aspx?ID=[num1]
/microsoft/errorpost/default.aspx?ID=[num1]
При коммуникации по HTTP с командным сервером используются заголовки
юзер-агента браузеров Internet Explorer 6, 7 и 8. Исходя из всех этих
причин, троянская программа и получила название MSUpdater.
|