Исследователи из антивирусной компании Softwin (разработчик программы Bitdefender) обнаружили сложную троянскую программу,
которая использует нетривиальные методы для маскировки кода в
операционной системе. В то время как простые вредоносные программы могут
добавлять себя в список автозагрузки, внося изменения в реестр — и
поэтому легко идентифицируются антивирусом, новый троян
Trojan.Dropper.UAJ использует собственный подход: он внедряется в одну
из важных Windows-библиотек (comres.dll), так что все приложения,
которые обращаются к данной библиотеке, запускают вредоносный код на
исполнение.
Троян делает копию оригинального файла comres.dll, изменяет его и
затем сохраняет в папку Windows, откуда его по умолчанию вызывают все
программы, например, explorer.exe.
Изменения в файле библиотеки включают добавление всего одной функции,
которая импортируются вместе с общим списком functions.Next. После
этого троян помещает на диске файл prfn0305.dat (он идентифицируется
антивирусом Bitdefender как Backdoor.Zxshell.B). Теперь всё на своих
местах, и при вызове системной библиотеки DLL происходит запуск бэкдора,
функционал которого позволяет осуществлять любые действия в системе,
включая запуск других файлов, добавление и удаление пользователей, смену
паролей и т.д.
По словам специалистом, выбор comres.dll обусловлен тем, что эта
библиотека широко используется большинством веб-браузеров, а также
многими программами для коммуникаций и сетевыми приложениями, то есть
это популярная и незаменимая библиотека в операционной системе.
Поскольку данный троян не несёт собственной библиотеки, а
модифицирует уже имеющуюся в системе, он успешно работает на многих
версиях Windows, включая Windows 7, Windows Vista, Windows 2003, Windows
2000 и Windows NT в 32-битном и 64-битном окружениях.
Данный тип атаки использует метод, который известен в качестве "DLL
load hijacking" — он использует уязвимость/функцию операционной системы
Windows, когда в приложении не указывается полный путь к файлу
библиотеки, а указывается только его название. В этом случае
операционная система сама ищет библиотеку и запускает тот файл с
указанным именем, который находится ближе. В первую очередь — в папке
самого приложения, затем — в папке Windows, и так далее. Таким образом,
злоумышленники могут подсунуть другую версию библиотеки, просто поместив
файл ближе к приложению и не заменяя оригинальный файл.
|