Zaufana Trzecia Strona opisała ciekawą historię, któradotknęła pewną kancelarię prawniczą. Możecie się z niązapoznać wcałości na łamach tego popularnego bloga o bezpieczeństwie,tu streścimy jedynie najważniejsze jej punkty. Otóż po krótkiejwymianie korespondencji między napastnikiem a ofiarą, była ona wprzekonujący sposób proszona o kliknięcie linku prowadzącego doważnych biznesowych dokumentów.
Po otworzeniu adresu przez przeglądarkę tę stronę pojawiałysię sensownie wyglądające komunikaty o ładowaniu dokumentuMicrosoft Office, ale tuż przy samym końcu dochodziło do „awarii”,w wyniku której wyświetlany był komunikat o koniecznościzainstalowania wtyczki do przeglądarki, służącej do wyświetlaniadokumentów Microsoft Office. Instalator był pobierany z ciekawiewyglądającej domeny update.microsoftcenter.eu – i rzeczywiścieodpowiadał za instalację wtyczki, ale nie tylko. Pod koniec procesuinstalacyjnego uruchamiał aplikację o nazwie doneapp.exe,przenoszącą szkodnika Smoke Loader.
Szkodnik ten ma spore możliwości, potrafi m.in. przekierowaćżądania DNS na złośliwy serwer, może też podsłuchiwaćaktywność użytkownika. Jak ustalilieksperci CERT-u, potrafi przetrwać ponownie uruchomienie systemu,dodając sobie klucz do rejestru Windows i instalując się pod domyślną ścieżką danych aplikacji w katalogu o losowejnazwie, jako plik .exe o nazwie takiej sam jak wygenerowana dlakatalogu.
Po uruchomieniu SmokeLoader próbuje nawiązać komunikację zsiecią, sprawdzając możliwość rozwiązania domeny msn.com, apotem łączy się z innymi domenami znalezionymi we wpisach dorejestru, by ukryć w ten sposób swoją realną aktywność. Tąaktywnością jest połączenie się z serwerem dowodzenia i kontroli(w momencie badania serwer taki działał pod adresem cannedgood.eu),przesłanie mu informacji o zarażonej maszynie i oczekiwanie nadalsze zadania, w szczególności otrzymanie nowego ładunku zezłośliwym kodem.
W analizowanym przypadku szkodnik wykorzystywał teżwtyczkę-rootkita, mającego ukryć nie tylko jego działalność,ale nawet same wpisy w Rejestrze Windows i stworzone pliki w systemieplików, oraz wtyczkę do sfałszowania wyników funkcji związanychz rozwiązywaniem domen. Eksperci CERT-u podkreślają, że całaoperacja była dobrze przygotowana. Podobnie uważają autorzyZaufanej Trzeciej Strony, pisząc:
Wygląda na to, że użyte w ataku oprogramowanie zostałozakupione na jakimś hakerskim forum – w Sieci już rok temu możnabyło trafić na doniesienia o zastosowaniu SmokeLoadera. Pozostaje wtej sytuacji liczyć tylko na czujność użytkowników, gdyżwiększość programów antywirusowych do dziś kiepsko sobie radzi zwykryciem i zablokowaniem tego szkodnika.