JIT SPRAY АНАЛИЗ TDSS - Xakep Online

Siemens подтверждает факт проникновения
в SCADA
продлил жизнь «малваре», прежде, чем ее обнаружили. Как бы
то ни было, после пресс-релиза белорусов, другие антивирусные
компании так же подключились к исследованию, как новой уязвимости,
с помощью которой распространялся червь, так и к боевой
нагрузке.
ÐÀÑÏÐÎÑÒÐÀÍÅÍÈÅ
Механизм размножения червя, казалось бы, не особо-то и оригинальный
— через USB-флешки. Но autorun.inf тут уже ни при чем.
В дело вступает новая уязвимость, которая позволяет загружать
произвольную .DLL-библиотеку, как только флешка будет вставлена,
и пользователь откроет ее содержимое. Дело в том, что на
флешке лежит .DLL-файл с вредоносным кодом (ну, фактически
расширение, в случае с червем, — .TMP) и .LNK-файл. Файл
с расширением .LNK является обычным ярлыком. Но в нашей
ситуации ярлык не совсем обычный. При отображении ярлычка в
стандартной оболочке или Total Commander автоматически выполнится
лежащий рядом .DLL-файл со всеми вытекающими отсюда
последствиями! Как такое могло произойти? Как известно, ярлык
указывает на исполняемый файл и при двойном щелчке вызывает
его. Но тут все без щелчков, да и .DLL-файл так не выполнить.
Если рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его
середине указан путь до нашей .DLL. Кроме того, это не обычный
ярлычок, а ярлычок на элемент панели управления! Эта-то деталь
все и объясняет. Любой элемент панели управления — .CPLапплет.
Но CPL — это, по сути, простая .DLL, поэтому ярлык для
панели управления особый, он как бы понимает, что имеет дело с
.DLL. Кроме того, такой ярлык пытается ВЫТАЩИТЬ иконку из.DLL,
чтобы отобразить ее в проводнике. Но для того, чтобы вытащить
иконку, надо подгрузить библиотеку. Что, собственно, оболочка и
делает с помощью вызова LoadLibraryW().
Справедливости ради стоит отметить, что вызов этой функции
автоматически влечет за собой выполнение функции DllMain()
из подгружаемой библиотеки. Поэтому, если такой ярлычок будет
указывать не на .CPL-апплет, а на злую библиотеку со злым кодом
(в функции DllMain()), то код выполнится АВТОМАТИЧЕСКИ при
просмотре иконки ярлыка. Кроме того, эту уязвимость можно использовать
и с помощью .PIF-ярлыков.
ÁÎÅÂÀß ÍÀÃÐÓÇÊÀ
Кроме интересного метода распространения удивила и боевая
нагрузка — никаких ботнетов, краж банковских паролей, номеров
Symantec расписывает компоненты трояна
CC. Все оказалось куда масштабнее. Уязвимость .LNK провоцирует
загрузку скрытого файла с именем ~wtr4141.tmp, лежащего рядом
с ярлыком. Файл этот исполняемый, но маленький (всего 25 Кб).
Как отметили специалисты из Symantec, очень важно на первых
порах скрыть свое присутствие, пока система еще не заражена. С
учетом специфики 0day-уязвимости, которая действует, как только
пользователь увидит иконки, сработает и ~wtr4141.tmp, который в
первую очередь вешает перехваты системных вызовов в kernel32.
dll. Перехватываемые вызовы:
• FindFirstFileW
• FindNextFileW
• FindFirstFileExW
Хуки также вешаются и на некоторые функции из ntdll.dll:
• NtQueryDirectoryFile
• ZwQueryDirectoryFile
Все эти функции обрабатываются со следующей логикой — если
файл начинается с «~wtr» и заканчивается на «.tmp» (или на
«.lnk»), то удалить его из возвращенного оригинальной функцией
значения, а затем вернуть, что осталось. Другими словами, скрыть
свое присутствие на диске. Поэтому пользователь просто не увидит
файлы на флешке. После этого ~wtr4141.tmp подгружает второй
файл с диска (~wtr4132.tmp). Делает он это не совсем стандартно,
я бы даже сказал, извращенно — установкой хуков в ntdll.dll на
вызовы:
• ZwMapViewOfSection
• ZwCreateSection
• ZwOpenFile
• ZwCloseFile
• ZwQueryAttributesFile
• ZwQuerySection
Затем с помощью вызова LoadLibrary он пытается подгрузить
несуществующий файл со специальным именем, на это дело
XÀÊÅÐ 09 /140/ 10 055