Эксклюзивный «бестелесный» бот атакует посетителей новостных ресурсов

Накауне мы нашли вредоносную программу, подписанную валидной подписью. Зловред представляет собою 32-х или 64-х битный дроппер, ЛК детектирует его как Trojan-Dropper.Win32.Mediyes или Trojan-Dropper.Win64.Mediyes соответственно.

Сейчас обнаружено большое число файлов дропперов, подписанных в разное время — начиная с дек. 2011 г. до 7 мар. 2012 г.. Во всех ситуациях был использован сертификат, выданный швейцарской компании “Conpavi AG”. Эта компания работает с государственными органами Швейцарии — муниципалитетами, кантонами и т.д.

Информация о цифровой подписи Trojan-Dropper.Win32.Mediyes

Конкретного источника распространения Trojan-Dropper.Win32/Win64.Mediyes мы пока не знаем, однако есть основания считать, что он устанавливается на компьютеры пользователей при помощи эксплойтов.



32-битный дроппер записывает в системную папку с драйверами собственный 32-битный драйвер, наименование которого начинается с “HID”, затем удаляет себя из системы. Отметим, что сам драйвер не подписан, хотя это не мешает ему успешно функционировать под 32-битными операционными системами Windows. Драйвер несет в себе динамическую библиотеку, которую записывает в системную папку под именем, начинающимся с “PNG”. Основной функционал драйвера — ввести библиотеку в интернет-броузер. Более того, драйвер скрывает компоненты Mediyes на диске.

64-битный дроппер не несет драйвера и тут же внедряет библиотеку в броузер.

Вредоносная библиотека детектируется ЛК как Trojan.Win32.Mediyes, а драйвер как Rootkit.Win32.Mediyes.

После запуска библиотека проверяет, под каким браузером она запущена, а после начинает перехватывать запросы браузера к поисковым системам Google, Yahoo и Bing. Все запросы она дублирует на сервер злоумышленников, расположенный в Германии. Поисковые запросы пользователей мошенники применяют для дохода в партнерской программе Search123 по схеме Pay-Per-Click (PPC). Получив запрос пользователя, сервер злоумышленников отвечает на него ссылками системы Search123, по которым случаются клики в скрытом от пользователя режиме. Так, мошенники получают денежные средства за поддельные клики.

Описание партнерской утилиты Search123

По данным KSN вредоносная библиотека Trojan.Win32.Mediyes была обнаружена приблизительно у 5000 уникальных пользователей, по большей части в западной Европе — в Германии, Швейцарии, Швеции, Франции и Италии.

География распространения Trojan.Win32.Mediyes

Понятно, вредоносная утилита нацелена именно на западноевропейских пользователей. Это подтверждают и иные данные — сертификат швейцарской компании, германский сервер, перехват запросов лишь к интернациональным поисковым системам.

Мы сообщили компании VERISIGN об угрозе и попросили отозвать скомпрометированные сертификаты.

UPD Компания Symantec отозвала скомпрометированные сертификаты.



Пинг не поддерживается.

Оставить комментарий