Анализ зловреда, который использовался в атаке на Sony Pictures

В открытый доступ попал внутренний документ ФБР, он содержит анализ вредоносной программы, с помощью которой была «поставлена на колени» компания Sony Pictures.

В описании сказано о «деструктивном зловреде, использованном неизвестными операторами». Он способен стирать все данные на заражённых компьютерах под Windows и распространяться по сети для атаки серверов под Windows. Для распространения используются встроенная в операционную систему служба обмена файлами.

Представители компании Sony Pictures охарактеризовали программу как «очень сложную», а независимые эксперты из Mandiant подтвердили, что на момент распространения она не определялась антивирусами.

После установки на компьютер программа связывается с командным сервером через интернет. Хотя следователям удалось установить сигнатуру командного трафика, но вряд ли это поможет выявить зловред, потому что подключение к C&C-серверу происходит уже после того, как начался процесс удаления файлов.

Экспертам не удалось пока установить, как происходило первоначальное заражение. При установке дроппер запускался как Windows-сервис и создавал сетевой диск с помощью переменной “%SystemRoot%”. К сетевому диску открывался доступ со всех компьютеров в локальной сети. Потом программа запускала командную строку Windows Management Interface (WMI), чтобы распространить файлы с сетевого диска на другие компьютеры.

Анализ зловреда Trojan.Win32.Destover.a опубликован в базе Malwr. В соответствии с ним, дроппер связывался с несколькими IP-адресами, вероятно, расположенными в Японии (возможно, это связано с расположением штаб-квартиры Sony).

Дроппер устанавливал файл, схожий по названию с Internet Information Server (IIS), iissrv.exe, который прослушивал TCP/IP на порту 80 и в реальности является миниатюрным веб-сервером. Именно он показывал на экране картинку JPEG и текст во время удаления файлов.

В определённый момент (возможно, по указанию от C&C-сервера) запускался файл igfxtrayex.exe, который и осуществлял удаление файлов сектор за сектором, предварительно связавшись с несколькими IP-адресами в Италии, Таиланде и других странах (вероятно, это адреса взломанных VPN и прокси). После удаления файлов с помощью дискового драйвера EldoS компьютер уходил в спящий режим на два часа, после чего перезагружался.

Источник: xakep.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s