Symantec сообщила об угрозе Trojan.Milicenso. Вирус отправляет на серверы печати задания на распечатку случайных наборов символов вплоть до исчерпания запаса бумаги. При обнаружении антивирусными программами и помещении в карантин вирус не прекращает выполнения действий, так как использует уникальный механизм перенаправления программных запросов. Код Trojan.Milicenso может заражать компьютеры различными способами: в виде вирусных вложений в сообщения электронной почты, а также при посещении веб-сайтов, на которых размещены вирусные скрипты. Последний вариант часто получается при переходе пользователя по ссылке из спамерского письма. Также в большом количестве случаев заражение происходило с помощью кода, замаскированного под файл кодека. Троян создает и выполняет исполняемый файл, который, в свою очередь, создает файл DLL в папке %System%. Затем исполняемый файл себя удаляет. Основное содержание созданной библиотеки DLL тщательно зашифровано; для усложнения анализа ключ шифрования также зашифрован с применением уникального значения для каждого зараженного компьютера. Это уникальное значение используется для шифрования ключа шифрования главной библиотеки DLL, который затем встраивается в файл DLL. Ключ используется для выполнения поля перестановки в зашифрованном исполняемом файле. Кроме использования шифрования RC4 особого внимания заслуживает наличие нескольких специальных подпрограмм для идентификации отношения среды выполнения либо к виртуальной машине, либо к известной общедоступной карантинной области, либо к сайту - «черному ящику» (например, ThreatExpert). Вирус также производит проверку наличия определенных драйверов системы, которые ассоциируются с режимом виртуальной машины. Самым интересным является то, что большинство подпрограмм проверок/определения карантина используются в качестве защитных механизмов, позволяющих вирусу замаскироваться либо помешать анализу. Однако в данном случае, несмотря на наличие карантина, вирус не прекращает выполнения действий, а наоборот – производит определенные действия, например, запрос сайтов. Эти действия ассоциированы с Adware.Eorezo – так что возможно, что вирус использует рекламное программное обеспечение в качестве ложного объекта, отвлекающего на себя внимание, пытаясь таким образом избежать анализа в том плане, что вирус при этом получит категорию угрозы невысокого уровня и будет пропущен. При выполнении действий вирус запрашивает значения времени создания папок System и System Volume Information для создания уникального значения – та же самая операция, выполнявшаяся при установке трояна. Затем код использует уникальное значение для расшифровки главного ключа шифрования, который используется для расшифровки и выполнения основного содержания трояна. Троян шифрует собранную информацию и отправляет её атакующему в закодированном виде - имени файла запроса HTTP GET. Запрошенный файл, возвращаемый сервером, является зашифрованным вирусным кодом. Один из созданных файлов данного вируса представляет собой исполняемый файл, идентифицируемый как Aware.Eorezo. Файл имеет цифровую подпись, использующую сертификат, выданный компании «Agence Exclusive». Срок действия сертификата истек в январе 2012, поэтому верификация цифровой подписи завершается ошибкой. На данный момент специалистам Symantec не удалось подтвердить существование компании «Agence Exclusive», что указывает на то, что это несуществующая компания либо компания, прекратившая свою деятельность. Исполняемый файл создан с единственной целью: расшифровка адреса URL и запуск выполнения команды ShellExecute, запускающей браузер для открытия расшифрованного адреса URL (ads.alpha[УДАЛЕНО]). С этого домена происходит перенаправление трафика на другой рекламный адрес URL, с которого происходит перенаправление на следующий рекламный адрес URL; в конце браузер открывает случайный сайт. В процессе исследования в конце цепочки перенаправлений наблюдались различные французские сайты. На этапе заражения происходит создание файла с расширением .spl. Данный файл, хотя и выглядит как обычный файл задания на печать, на самом деле является исполняемым файлом, определяющимся как файл Adware.Eorezo. В зависимости от конфигурации любые файлы в этой папке, в том числе и бинарные, запускают задания на печать. Это и объясняет сообщения о неожиданных распечатках, происходивших в зараженных сетях. Основываясь на собранной информации, можно сказать, что испорченная бумага является, скорее всего, побочным эффектом заражения, нежели осмысленной целью авторов вируса. Специалисты Symantec продолжают анализ новых случаев заражения данным вирусом и проводят обновление средств защиты. Недавно также стало известно, что SANS разместила дополнительную информацию о новом варианте Trojan.Milcenso. Этот вариант модифицирован мусорным заполнителем в исполняемом файле, что призвано затруднить его определение. Это показывает, что авторы угрозы продолжают работать не покладая рук над распространением своего вируса. (16:00) 25.06.2012 http://cybersecurity.ru/crypto/154060.html
Вирус печатает на принтере ради шутки над исследователями В последние две недели из разных регионов мира (США, Польша, Германия, Индия, Бразилия) поступили сведения о странном поведении лазерных принтеров, которые вдруг начинали печатать бессмысленный набор символов, пока в лотке не заканчивалась бумага. Это является результатом активности вируса Trojan.Milicenso, сообщает антивирусная компания Symantec. Вообще-то, Trojan.Milicenso был обнаружен ещё в далёком 2010 году, но почему-то именно сейчас он проявил себя. Вирус инфицирует компьютер разными способами, в том числе через drive-by и в виде аттачментов по почте. В последнее время он часто рассылается как ссылка на фальшивый кодек. Троян создаёт и запускает дроппер, который, в свою очередь, создаёт DLL-файл со случайным именем в системной папке. Этот файл шифруется уникальным ключом, который генерируется с использованием конкретных параметров компьютера (время создания системной папки и время создания системного раздела). Вирус проверяет, не находится ли он внутри песочницы или виртуальной машины. В этом случае он не скрывает свою активность, как можно было предположить, а наоборот, начинает явно проявлять совершенно несвойственные ему действия, притворяясь рекламным зловредом Adware.Eorezo. Именно в этой ситуации вирус копирует бинарник Adware.Eorezo в файл .spl в папку %System%\spool\printers — файл в этой папке автоматически инициирует печать. По мнению экспертов, печать на принтере является частью «ложной активности» вируса. Более того, печать ложного файла можно воспринимать как своеобразную шутку над исследователями. Реальное предназначение вируса пока не совсем понятно. Он обменивается зашифрованными файлами с удалённым сервером. Вирус подписан сертификатом французского Agence Exclusive, срок действия которого истекает в январе 2012 года. Исследователям не удалось найти следы существования фирмы с таким названием. Возможно, вирус выполнял какую-то полезную работу несколько лет назад, доставляя вредоносное ПО на заражённые компьютеры, а сейчас уже не используется по основному предназначению. Дата: 25.06.2012 http://www.xakep.ru/post/58896/
Раньше подобным образом портили термобумагу с факсов. Которые, стояли в офисах и были способны принимать факсы автоматически. А бумага тогда была дорогая. Другой вирус наоборот блокировал LPT-порт. Кстати, троян - НЕ вирус. Ничто не ново под луной...
Trojan.Milicenso скомпрометировал 4000 сайтов Trojan.Milicenso скомпрометировал 4000 сайтов Корпорация Symantec раскрывает подробности об угрозе Trojan.Milicenso, которая стала известна благодаря побочному действию – отправке заданий на печать. Принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага. В рамках дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4 000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу. Перенаправление при помощи файла .htaccess Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess. На рисунке ниже показано, как происходит перенаправление через .htaccess. Рисунок 1. Путь распространения вируса 1. Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту. 2. Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess. 3. На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК. О перенаправлении, описанном в пункте 2, пользователь не предупреждается, и он не имеет никакого представления о том, что произошло «за кулисами». Файл .htaccess На рисунке ниже представлен модифицированный файл .htaccess. Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла. Изображение 2. Модифицированный файл .htaccess Конфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех следующих условий: 1. Это первое посещение сайта (при последующих посещениях перенаправления не происходит); 2. Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера); 3. Угроза работает только на платформе Windows (на других платформах перенаправления не происходит); 4. Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем). Атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL, как показано на рисунке ниже: Изображение 3. Конфигурация файла .htaccess, обеспечивающая перенаправление на вредоносный сайт Вредоносные веб-сайты Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccessкак минимум с 2010 года. Перечень некоторых наиболее «свежих» вредоносных сайтов представлен ниже: [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tedzstonz.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].yourcollegebody.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].beeracratic.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].buymeaprostitute.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].zoologistes-sansfrontiere.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].zoologistes-sansfrontiere.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].buymeaprostitute.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].wheredoesshework.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].wheredidiwork.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].jordanmcbain.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].bankersbuyersguide.net; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].findmeaprostitute.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].watchmoviesnchat.com; [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].joincts.info. Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно. Скомпрометированные веб-сайты За последние несколько дней специалисты Symantec обнаружили почти 4 000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы. Изображение 4. Распределение взломанных сайтов по доменам верхнего уровня На диаграмме представлено распределение скомпрометированных веб-сайтов по доменам верхнего уровня. Как обычно, большая часть приходится на домен .com, за которым следуют .org и .net. Из более чем 90 стран, попавших в этот список, на Европу и Латинскую Америку приходится наибольшая часть взломанных сайтов, что соответствует распространению вируса Trojan.Milicenso. Противодействие Для веб-администраторов Антивирусные продукты Symantec определяют заражённые файлы .htaccess как Trojan.Malhtaccess. Удалите их, замените последней известной безопасной резервной копией и установите обновления безопасности для всех используемых операционных систем и веб-приложений, включая CMS. Для пользователей В дополнение к антивирусным сигнатурам, специалисты Symantec создали специальную сигнатуру IPS 25799:Web Attack: Malicious Executable Download 6, которая автоматически защищает пользователей от перенаправления на вредоносные ресурсы. 13/07/2012 http://www.anti-malware.ru/news/2012-07-13/9567
Зафиксирована атака второго печатающего вируса W32.Printlove Антивирусные специалисты компании Symantec изучили работу, обнаруженного в конце июня 2012 года сетевого червя под названием W32.Printlove. Одним из способов распространения этого червя стала уязвимость CVE-2010-2729 в Диспетчере очереди печати (Printer Spooler) ОС семейства Windows, позволяющая удаленно выполнить произвольный программный код. Эта уязвимость была устранена в сентябре 2010 года, и в случае, если на компьютере пользователя установлено это исправление, попытка заражения приводит к печати программного кода вредоноса на принтере, подключенного к этому компьютеру. Похожая ситуация наблюдалась с печатающим вирусом Trojan.Milicenso (a.k.a "Printer Bomb"), образцы которого также были обнаружены в июне этого года. Использование похожих эксплоитов может говорить о связи между собой разработчиков этих зловредов. Кроме распространения через уязвимость CVE-2010-2729, интернет-червь W32.Printlove распространяется через систему автозапуска сменных носителей, а также выполняет функции трояна с удаленным управлением. После своего запуска он собирает информацию о системе и отправляет её на веб-сервер злоумышленников. Кроме того, в W32.Printlove реализована возможность удаленной загрузки программного кода с последующим его запуском. Эксперты рекомендуют произвести антивирусную проверку и лечение компьютерных систем, в случае обнаружения подозрительных распечаток на принтерах, подключенных к компьютерам и сети предприятия. 13/07/2012 19:28 http://uinc.ru/news/sn18426.html
Обнаружен новый сетевой червь-"пожиратель бумаги" небольшое дополнение к предыдущему посту. Symantec сегодня заявила об обнаружении нового червя, который запускает «мусорные» задания на печать. Антивирусные продукты компании определяют данного червя как W32.Printlove. Этот вредоносный код использует уязвимость Microsoft Windows Print Spooler Service Remote Code Execution (CVE 2010-2729), которая была обнаружена ещё в 2010 году. Червь по-разному ведет себя на компьютерах, на которых установлено обновление, закрывающее уязвимость CVE 2010-2729 и на которых оно ещё не установлено. Специалисты Symantec протестировали данную угрозу в простой сети, состоящей из двух компьютеров и общего сетевого принтера, подключенного через коммутатор. Конфигурация компьютера A: Windows XP Professional. На компьютере установлено обновление, исправляющее CVE 2010-2729, и он заражен W32.Printlove. На ПК не установлено подключение к локальному принтеру или принтеру с общим доступом. Конфигурация компьютера B: Windows XP Professional. В первом сценарии компьютер работает без обновления, а во втором оно установлено. К нему подключён сетевой принтер, открытый для общего доступа. Компьютер A должен иметь разрешение отправлять задания на печать на компьютер B. Гостевой доступ к общим принтерам в Windows XP включен по умолчанию; для более поздних операционных систем компьютер А должен быть аутентифицирован компьютером В. Вот два сценария, по которым может работать данная угроза: 1. W32.Printlove, работающий на компьютере A будет искать сетевые ресурсы печати. После их обнаружения, он пересылает себя на компьютер В, используя запрос StartDocPrinter. Уязвимость буфера печати позволяет скопировать в любую папку какой угодно файл, переданный запросом на печать. Угроза успешно запускает себя на компьютере В, пользуясь данной уязвимостью. Изображение 1. Первый сценарий, удаленный запуск кода 2. W32.Printlove, работающий на компьютере А, ведет себя таким образом и передает свой код на компьютер В. Так как на компьютере В установлено обновление, червь не может использовать уязвимость. Принцип исправления уязвимости не позволяет запросам на печать передавать файл в любую папку (то есть осуществлять печать в файл). В связи с этим червь не может скопировать себя в системный каталог и осуществить автозапуск, используя эксплойт. Вместо этого он сохраняется в папке буфера печати компьютера B в виде .spl-файла. После чего компьютер B начинает печать данного файла на подключённом общедоступном принтере. На изображении 2 показан сценарий 2. Изображение 2. Второй сценарий, задания на печать W32.Printlove сохраняет подключение к удаленному компьютеру и периодически пытается его инфицировать, используя уязвимость буфера печати. Компьютеры могут быть заражены повторно, а также могут происходить множественные «мусорные» распечатки, отправляемые с разных компьютеров, пока червь не будет полностью удален из сети. Отслеживание источника нежелательной печати может оказаться значительно сложнее, если речь идет о нескольких инфекциях, присутствующих в сети. Сетевые администраторы могут идентифицировать заражённые ПК, просматривая .shd-файлы, расположенные в папке буфера печати на компьютере, который обеспечивает подключение к общедоступному принтеру. Файлы SHD создаются операционной системой и содержат детальную информацию о запросе на печать. Для их просмотра можно использовать SPLViewer. Поскольку данные файлы используются службой буфера печати, ее необходимо сначала остановить. Администраторы могут обнаружить скомпрометированный компьютер по полю Computername (Изображение 3), которое позволяет идентифицировать источник отправки задания на печать. Изображение 3. SPLViewer показывает, откуда взялось задание печати Мусорная печать – оборотная сторона медали устранения уязвимости CVE 2010-2729 на компьютерах, атакованных W32.Printlove. Пользователи продуктов Symantec уже защищены от подобных угроз, если они используют последние обновления антивирусных баз. Возможно, существует связь между Trojan.Milicenso и W32.Printlove, но на данный момент это не подтверждено. Команда специалистов Symantec продолжает расследование, чтобы выявить возможную взаимосвязь этих двух угроз. (11:19) 16.07.2012 http://cybersecurity.ru/crypto/155442.html