Threat locator, маленький блог про віруси та вразливості, сторінка 2

ПопередняНаступна

Особливим Trojan-SMS.AndroidOS.Stealer.a не назвеш, він поширюється під виглядом легітимного програми та використовує стандартний для SMS-троянців набір функцій.

Всередині себе зловредів зберігає зашифровані конфігураційний файл, який представляє собою JS-скрипт. Залежно від змісту файлу, троянець відразу після завантаження і запуску може виконати наступні дії:

  • openUrl - відкрити веб-сторінку (URL)
  • getLat, getLng - отримати координати пристрою
  • setInboxSmsFilter - встановити маску блокування SMS
  • disableInboxSmsFilter - зняти маску блокування SMS
  • doPayment - відправити SMS, взявши номер і текст повідомлення з конфігураційного файлу.
  • installApp - встановити додаток
  • enableDebug - включити зневадження
  • disableDebug - вимкнути зневадження
  • log - включити логирование в logcat
  • minimize - згорнути програму, під виглядом якого поширюється троянець (в фоновий режим)
  • exit - закрити програму
  • startHider - приховати додаток
  • stopHider - відновити додаток
  • enableAOS - включити режим приховування повідомлення про підтвердження
  • addShortcut - додати ярлик на троянця на один з робочих столів ОС
  • isAirplaneModeOn - перевірити, чи включений режим AirPlane mode
  • isPackageExists - перевірити, чи є в системі додаток по масці
  • sS - відправити SMS з заданим номером і префіксом
  • sDS - відправити SMS з затримкою

Агент Computrace - це додаток Windows, яке має дві форми: скорочену і повну. У разі відсутності повноцінного агента, міні-агент завантажує вміст із сервера в глобальній мережі. Стандартну поведінку агента:

Фаза 1: модуль BIOS

У першій фазі відразу після ініціалізації основного BIOS виконуються модулі додаткових ROM, виконуються EFI-додатки. У цій стадії модуль Computrace переглядає FAT / FAT32 / NTFS розділи жорсткого диска в пошуках встановленої ОС Windows. Потім він створює копію системного autochk.exe і переписує його своїм кодом. Системний autochk.exe зберігається під ім'ям autochk.exe.bak на FAT або autochk.exe: BAK в альтернативному потоці даних NTFS.

Фаза 2: autochk.exe

Модифікований autochk.exe, стартуючи під час завантаження, має повний доступ як до локальних файлів, так і до реєстру Windows. Завдяки цьому він благополучно зберігає в папку system32 файл агента rpcnetp.exe і реєструє його в реєстрі Windows в якості нової сервісної служби. Пізніше оригінальний autochk.exe відновлюється з збереженої копії.

Фаза 3: rpcnetp.exe

Саме цей модуль також відомий як міні-агент Computrace агент або mini CDA (Communication Driver Agent). Його розмір відносно невеликий, всього близько 17Kb.

Міні-агент стартує як сервісна служба Windows. Відразу після цього він копіює власний виконуваний EXE-файл під ім'ям rpcnetp.dll, встановлюючи при цьому відповідний прапор в PE заголовку (чим стверджує, що це коректний DLL файл), і завантажує DLL. Потім rpcnetp.exe запускає дочірній процес svchost.exe в загальмованому стані і впроваджує в його пам'ять створений rpcnetp.dll. При поновленні виконання svchost.exe створює дочірній процес браузера iexplore.exe з правами поточного активного користувача. Iexplore.exe також створюється в загальмованому стані і так само отримує ін'єкцію rpcnetp.dll. Модифікований таким чином браузер в автоматичному режимі з'єднується з сервером управління для отримання команд і завантаження додаткових модулів. Це призводить до завантаження та встановлення повнорозмірного агента rpcnet.exe.

Фаза 4: rpcnet.exe

Але він може бути використаний як платформа для атак.

Описане поведінка, дуже характерне для шкідливого ПО, стало однією з причин пильної уваги до даних модулів. Як правило, легітимне ПО не використовує подібних технік.

ПопередняНаступна