Навигация
Популярное

Путеводитель по SaM.kg » Софт » Мирт и гуава (про winsta.exe)
Мирт и гуава (про winsta.exe)
(+8)
16 07 2010
Мирт и гуава (про winsta.exe)


Александр Гостев
Эксперт «Лаборатории Касперского»
Эпизод 1


Несколько дней назад коллеги из белорусской антивирусной компании VirusBlokAda (VBA) сообщили об обнаружении новой интересной вредоносной программы.

Также ими был опубликован небольшой анализ c выводом о наличии двух заметных «инноваций» в данной программе

1. Использован ранее не применявшийся способ запуска файлов со съемных USB-накопителей при помощи LNK-файлов.
2. Вредоносные драйверы обладают легальной цифровой подписью компании Realtek.

Я рекомендую нашим читателям ознакомиться с этим документом и благодарю экспертов VBA за их исследование. Отличный ресерч, парни!

Эксперты Лаборатории Касперского провели собственный анализ вредоносной программы и тоже нашли кое-что интересное.

Прежде всего следует отметить способ распространения данного Trojan-Dropper.Win32.Stuxnet. Троянец заражает флешки, создавая на них 4 lnk-файла:

"Copy of Copy of Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#RemovableMedia#7&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#RemovableMedia#8&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_&Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_&Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

(~WTR4141.tmp – основной файл вредоносной программы)


Мирт и гуава (про winsta.exe)

Строчки из кода трояна осуществляющего заражение флешек



Интересно, что в первых двух файлах используется ID – уникальный номер флешки для данного компьютера. До сих пор автозапуск файлов с дисков был привилегией autorun.inf. Эта «фича» ОС Windows уже давно стала обьектом жестокой критики со стороны экспертов по безопасности и одним из любимых приемов при распространении вирусов – они сформировали целый класс Worm.Win32.Autorun, насчитывающий несколько десятков тысяч различных угроз.

Но к autorun.inf и стартуемым из него вредоносам мы уже относительно привыкли (и научились бороться). А вот LNK-файлы – это действительно нечто новое. Для них можно зарезервировать класс “Linkrun” :) Мы не беремся пока вынести окончательный вердикт: является ли этот трюк реальной неизвестной уязвимостью в OC Windows или же это очередная «фича» разработчиков компании из Редмонда. Впрочем, они уже были извещены о проблеме, и, вероятно, в ближайшие дни мы узнаем истину.

Но это только первая часть нашего небольшого обзора. Название «Мирт и гуава» тут тоже неспроста.



Эпизод 2



Продолжаем забираться в ботанические дебри. В этом посте о троянце Stuxnet посмотрим на вторую его особенность – цифровую подпись.

Вредоносные программы с цифровыми подписями – это страшный сон для разработчиков антивирусных компаний. На подписи завязано многое, они служат признаком легальности (неоспоримым) приложения, лежат в основе концепций информационной защиты и составляют важное звено эффективности антивирусных продуктов. Ни для кого не секрет, что файл с цифровой подписью априори вызывает «доверие» у модулей защиты и зачастую автоматически считается «белым». Впрочем, порой случаются ситуации, когда киберпреступникам все-таки удается получить собственный сертификат-подпись. В последнее время такие инциденты, например, регулярно происходят с сертификатами у ряда троянских программ для мобильных телефонов. Мы их находим, уведомляем сертификационный центр, сертификат отзывается и т.д.

Однако со Stuxnet дело темное. Потому что используется там подпись не кого-нибудь, а компании Realtek Semiconductor, одного из крупнейших производителей компьютерного оборудования.

Отозвать сертификат у такой компании невозможно. Это повлечет за собой неработоспособность гигантского количества выпущенного ими софта.
Впрочем, давайте по порядку. Итак, вредоносная программа создает два файла в %SystemRoot%\system32\Drivers\: mrxcls.sys, mrxnet.sys

Эти файлы-драйверы призваны обеспечить работу руткит-функционала Stuxnet – скрывать его присутствие в системе\на зараженных флешках. Именно они и снабжены цифровой подписью:

Мирт и гуава (про winsta.exe)



Мирт и гуава (про winsta.exe)




Видно, что файлы были подписаны 25 января 2010 года. Это означает, что с момента создания до момента обнаружения троянца в дикой природе (в середине июня) прошло несколько месяцев.
Но как злоумышленникам удалось подписать файлы ?

Из соседнего кабинета мне подсказывают, что известен один «эксплоит», но он не позволяет подписывать произвольные файлы. Давайте пойдем на сайт Verisign, чтобы проверить – действительно ли такой сертификат существует и был выдан ?

Мирт и гуава (про winsta.exe)


Что ж, сертификат абсолютно легален.

Единственное, что смущает, - это то, что он истек 12 июня 2010 года. Эта дата удивительным образом совпадает и с моментом обнаружения троянца экспертами компании VBA. Означает ли это, что именно из-за своей подписи – он столь долгое время был «невидим» для антивирусных решений ? Возможно, да.

Все эти факты указывают на то, что действительно кто-то имеющий возможность подписывать файлы подписью от Realtek – сделал это: подписал троянца. Мы сами не связывались с Realtek по этому поводу. Мы знаем, что это сделали ребята из ВирусБлокАда, и они до сих пор не получили никакого ответа от этой компании.

Со своей стороны, мы можем заблокировать данную подпись для наших продуктов, при помощи KSN. На самом деле мы уже сделали это. Но что же насчет действительной опасности и текущей распространенности Stuxnet? Ответ на этот вопрос, возможно, даст информацию и об источнике проблемы ?


Эпизод 3



География распространения загадочного Stuxnet примечательна не меньше, чем он сам.

Мы детектируем руткит-компоненты (подписанные драйвера) как Rootkit.Win32.Stuxnet, а прочие файлы как Trojan-Dropper.Win32.Stuxnet.

За последние 4 дня система Kaspersky Securty Network зафиксировала более 16 000 пользователей по всему миру, на компьютерах которых были обнаружены компоненты троянца (которого на самом деле следует считать червем – из-за распространения на флешках).

Если посмотреть на эту статистику, нанесенную на карту мира, то станет видно, что центрами эпидемии являются три страны – Иран, Индия и Индонезия (все три на букву «И», забавно).

В каждой из этих стран число зафиксированных KSN инцидентов превышает 5000. Для сравнения – в России около 150, а в Китае всего лишь 5.



Мирт и гуава (про winsta.exe)



Мирт и гуава (про winsta.exe)



Объяснение такой географии довольно сложно, но должно в первую очередь базироваться на факте распространения Stuxnet на флешках. Такой путь не является самым быстрым, но, с другой стороны, может обеспечить вирусу весьма долгий срок существования (как мы видим это на примере вируса Sality, который также распространяется на съемных накопителях).

Очевидно, что пока еще эпидемия не вышла за пределы азиатского региона.

Но возможно, эта же география поможет установить и причину наличия подписанных руткит-компонент?

Конечно, конспирологические теории - не самое благодарное дело, но паранойя – это профессионально для it-security. Поэтому позволю себе высказать следующие две гипотезы.

Realtek является «железячной» компанией, и написание софта для своих устройств - это побочный процесс, для которого оптимальней всего - использование аутсорсеров. А какая страна является всемирным лидером по аутсорсинговому программированию?

Правильно: Индия.


Может аутсорсер, создающий софт для компании, обладать средствами для «подписывания» программ сертификатом этой компании? Возможно, да.

Таким образом, можно сделать предположение, что вредоносная программа была создана именно в Индии (смотрите на карту) и, возможно, не без наличия инсайдера среди разработчиков приложений для Realtek.

Хотя, если строить предположения, то я бы не стал сбрасывать со счетов и вариант того, что данные драйвера на самом деле являются легальными драйверами, созданными компанией Realtek.

Да, обладающие руткит-функционалом и скрывающими от пользователя файлы вида ~WTRxxxx.tmp и *.lnk файлы, расположенные в корне сменного накопителя. Собственно, почему бы и нет?

Историю с руткитом XCP от компании Sony антивирусная индустрия помнит еще очень хорошо.

Ах да, я забыл кое-что важное :)

«Мúртовые (лат. Myrt áceae) — семейство покрытосеменных растений, принадлежащее порядку Миртоцветные (Myrtales).К этому семейству относятся такие растения, как мирт, гвоздичное дерево, гуава, фейхоа, чайное дерево и эвкалипт.»

Название «Мирт и гуава» в этой серии постов использовано не просто так. В коде драйверов руткита содержится авторское название этого проекта:

b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
Проект «Мирт», модуль «Гуава».

Продолжение следует?

Поделитесь интересной новостью с друзьями

0
 (голосов: 5)






Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Добавил: Acclime | ICQ: -- |
(16 июля 2010 18:45)
Группа: Гости
Регистрация: --
Комментариев: 0
Публикаций: 0
букаф многа, не стал читать )
Добавил: Defender | ICQ: -- |
(16 июля 2010 20:31)
Группа: Гости
Регистрация: --
Комментариев: 0
Публикаций: 0
Интересная статья. Очень. Прям сейчас же хочется всю софтину Реалтековскую Каспером проверить.

Хоть и юзаю ESET laughing
Добавил: maratiKo | ICQ: -- |
(16 июля 2010 23:43)
Группа: Гости
Регистрация: --
Комментариев: 0
Публикаций: 0
smile . . .
Добавил: Smoke | ICQ: 237498615 |
(17 июля 2010 00:14)
Группа: Журналисты
Регистрация: 11.04.2007
Комментариев: 566
Публикаций: 1188
Тем кто прочитал или не прочитал.
Просто ради прикола проверьте папку:
c:\WINDOWS\system32\drivers\


Если найдете вирус тама (руткит с подписанной), то проверяйте:
1) c:\WINDOWS\system32\
2) c:\Program Files\Common Files\


Удачи goodgood

--------------------
Добавил: Acclime | ICQ: -- |
(17 июля 2010 03:03)
Группа: Гости
Регистрация: --
Комментариев: 0
Публикаций: 0
ыы, спс, но ничего не нашел))
Добавил: Deadmeat | ICQ: -- |
(19 июля 2010 10:56)
Группа: Гости
Регистрация: --
Комментариев: 0
Публикаций: 0
У меня стоит Каспер 2010. В субботу обновил базу и он тут же нашел "Rootkit.Win32.Stuxnet" и именно эти два файла mrxcls.sys, mrxnet.sys.
Не думал что настолько все серьезно.
Добавил: progressmenn | ICQ: -- |
(4 января 2011 03:53)
Группа: Гости
Регистрация: --
Комментариев: 0
Публикаций: 0
Stuxnet gg
wink
Добавил: VoLunTeer | ICQ: -- |
(27 января 2011 14:35)
Группа: Гости
Регистрация: --
Комментариев: 0
Публикаций: 0
aggressive
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Путеводитель по SaM.kg » Софт » Мирт и гуава (про winsta.exe)
Авторизация
Логин:
Пароль:
Топ пользователей
folk
баллов: 51455
комм.: 58
Ivan K
баллов: 17860
комм.: 0
lovelas-62
баллов: 11795
комм.: 85
Наш опрос
Создать-ли новый раздел Фотографии пользователей?
Да, размещу свои фото
Да, но свои фото не размещу
Нет, размещать фото не буду
Наше
Статические аватары




Анимированные аватары

RSS
Публикуемые аудио, видео, графические и текстовые и другие материалы предоставлены
здесь только для ознакомления, все права на них принадлежат их владельцам. Published audio, video, graphic and text and others materials are given here only for acquaintance, all rights to them belong to their owners.

Для Правообладателей