Из России с Тибетом: Backdoor.Trojan
Используемые при атаке письма написаны по-английски и адресованы американской компании по производству одежды.
Несмотря на то, что письма, на первый взгляд, отправлены с адресов организаций, связанных с Тибетом, изучение технических заголовков писем показало, что письма отправлены с почтового сервера на территории Российской Федерации.
Недавно был обнаружен файл, отличающийся от других вирусных программ тем, что в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью.
Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла:«NvSmart.exe», «NvSmartMax.dll» и «boot.ldr», первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файл подлинный.
Обычно, при запуске «NvSmart.exe» происходит подгрузка в память «NvSmartMax.dll» из внешней библиотеки. Однако, в данном случае подгружается фальшивая «NvSmartMax.dll», которая, в свою очередь, запускает выполнение файла boot.ldr, содержащего вредоносный код.
В прошлом вредоносные программы обычно подменяли подлинный файл на фальшивый, который загружался при старте ОС. Но подмену файла достаточно легко обнаружить. А в данном случае появляется новый легитимный файл известного производителя, и при установке его в систему в реестре для него создаётся соответствующая запись. В результате при старте компьютера запускается корректно установленная программа, обладающая цифровой подписью. И уже она запускает на исполнение подменённый файл «NvSmartMax.dll», который в свою очередь запускает на исполнение файл boot.ldr, содержащий вредоносный код. При этом фальшивые файлыне регистрируются в качестве служб и не добавляются в реестр, поэтому большинство пользователей не замечают, что при запуске машины выполняется вредоносная программа. Создатели вирусов ищут все новые способы предотвратить обнаружение своих созданий.
Продукты Symantec определяют «NvSmartMax.dll»и «boot.ldr» в качестве вирусов семейства Backdoor.Trojan. Вредоносные программы такого рода обычно занимаются перехватом информации, отправкой её «хозяину» и даже предоставляют возможность удалённого управления компьютером.
Данный метод загрузки вредоносных программ не ограничивается одной лишь программой «NvSmart.exe», и ожидается применение этой тактики в будущих атаках с использованием и других легитимных файлов.
По материалам официального пресс-релиза.