Новый вариант буткита Mebroot

[ALEX(XX)]

Наш коллега Alex_Goodwin нашёл на бескрайних просторах инета две очень интересные статьи:

http://www.prevx.com/blog/119/From-G...its-Today.html
и
http://www.trustdefender.com/blog/20...ous-than-ever/

В них говорится о появлении нового варианта MBR руткита Mebroot . К сожалению, статьи на английском. Дано техническое описание этого зверя.

Насколько я понял, один из образцов, попавших в руки вирусологов, пришёл вместе с эксплоитом для Adobe Reader. (дыра в Adobe Reader не была закрыта почти в течении месяца). Также распространение идёт через зараженные вэб-сайты.

Далее, что может этот вариант Mebroot:

will steal login and other personal or confidential details from banking websites
can inject any HTML content into any website (websites can be encrypted with or without EV-SSL.) without detection
can capture CAPCHA and compromize virtual keyboards
can use the information in real-time to defeat One-Time-Passwords
has configuration files for many banking sites so that it knows exactly what to look out for
is incredibly hard to detect
works system-wide and therefore any browser is affected. (Yes, you heard right. Firefox and Chrome users are also affected)

Приблизительный перевод:

• Ворует логины/пароли банковских сайтов
• может внедряться в HTML содержимое любого сайта без детектирования (ворует пароли к FTP)
• Может перехватывать CAPCHA и нажатия виртуальной клавиатуры
• труден в детектировании
• При заражении через сайт все браузеры уязвимы.

Как узнать, не заражен ли Ваш ПК? Пока лишь по косвенным признакам:

You can detect this trojan as follows (no guarantee as this may change frequently)

• did your computer restart without warning or bluescreen?
• open the command prompt (cmd.exe) and go to the c:\WINDOWS\TEMP directory. Now execute “notepad rg4sfay” and if infected, you’ll see the stolen content. Plese note that this file is hidden and won’t be shown in the windows explorer.
• download Process Explorer from Sysinternals and click on “services.exe” and check for open file handles (in the listbox below) for
  
  • any file references to \WINDOWS\TEMP\…
  • file reference to \!win$

Приблизительный перевод:

• Перезагружался ли Ваш ПК без предупреждения или BSOD?
• Откройте консоль (Пуск - выполнить - cmd.exe) и перейдите в c:\WINDOWS\TEMP. Это можно сделать набрав в консоли cd c:\WINDOWS\TEMP и нажав Enter. После перехода в этот каталог выполните команду notepad rg4sfay (набираете её и нажимаете Enter). Если Ваш ПК заражен, то Вы увидите в блокноте украденные данные. Этот файл, rg4sfay - скрытый и не отображается в проводнике
• Загрузите Process Explorer от Sysinternals и кликните на “services.exe”, и проверьте открытые файлы (в списке снизу) для:
  
  • любых файлов указывающих на \WINDOWS\TEMP\…
  • Файлы указывающие на \!win$
  
  
  Короткая справка: Буткит - это категория руткитов, которые переписывают MBR сектор диска и грузятся до операционной системы, и правят ее необходимым образом во время загрузки, что обеспечивает полную необнаружимость антивирусами.
  

PS: Прошу прощения за несколько корявый и вольный перевод. Кое-что перевести не смог.. Просьба к коллегам, знающим английский язык, по возможности более корректно перевести ключевые моменты статей.

[Serrrgio]

[*]При заражении через сайт все браузеры уязвимы.

Мне кажется, эта часть несколько преувеличена.

Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?

[ALEX(XX)]

Мне кажется, эта часть несколько преувеличена.

Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?

works system-wide and therefore any browser is affected. (Yes, you heard right. Firefox and Chrome users are also affected)

Картина на вирустотале:

Код:

File 77q7ft.ex received on 04.07.2009 21:52:57 (CET)
Antivirus	Version	Last Update	Result
a-squared	4.0.0.101	2009.04.07	Backdoor.Sinowal!IK
AhnLab-V3	5.0.0.2	2009.04.07	-
AntiVir	7.9.0.138	2009.04.07	-
Antiy-AVL	2.0.3.1	2009.04.07	-
Authentium	5.1.2.4	2009.04.07	-
Avast	4.8.1335.0	2009.04.07	Win32:Sinowal-FV
AVG	8.5.0.285	2009.04.07	PSW.Sinowal.S
BitDefender	7.2	2009.04.07	-
CAT-QuickHeal	10.00	2009.04.07	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.04.07	-
Comodo	1102	2009.04.07	-
DrWeb	4.44.0.09170	2009.04.07	Trojan.Packed.2447
eSafe	7.0.17.0	2009.04.07	-
eTrust-Vet	31.6.6442	2009.04.07	Win32/Mebroot.S
F-Prot	4.4.4.56	2009.04.07	-
F-Secure	8.0.14470.0	2009.04.07	Trojan:W32/Mebroot.gen!A
Fortinet	3.117.0.0	2009.04.07	-
GData	19	2009.04.07	Win32:Sinowal-FV 
Ikarus	T3.1.1.49.0	2009.04.07	Backdoor.Sinowal
K7AntiVirus	7.10.695	2009.04.07	-
Kaspersky	7.0.0.125	2009.04.07	-
McAfee	5577	2009.04.07	PWS-JA.gen.a
McAfee+Artemis	5577	2009.04.07	PWS-JA.gen.a
McAfee-GW-Edition	6.7.6	2009.04.07	-
Microsoft	1.4502	2009.04.07	-
NOD32	3994	2009.04.07	-
Norman	6.00.06	2009.04.07	-
nProtect	2009.1.8.0	2009.04.07	-
Panda	10.0.0.14	2009.04.07	-
PCTools	4.4.2.0	2009.04.07	-
Prevx1	V2	2009.04.07	-
Rising	21.24.12.00	2009.04.07	-
Sophos	4.40.0	2009.04.07	Mal/Sinowa-A
Sunbelt	3.2.1858.2	2009.04.06	Trojan.Win32.Mebroot!Generic (v)
Symantec	1.4.4.12	2009.04.07	Trojan.Mebroot
TheHacker	6.3.4.0.303	2009.04.07	-
TrendMicro	8.700.0.1004	2009.04.07	-
VBA32	3.12.10.2	2009.04.07	-
ViRobot	2009.4.7.1682	2009.04.07	-
VirusBuster	4.6.5.0	2009.04.07	-

Additional information
File size: 327680 bytes
MD5...: 8f74900f76ab3ac4f9fe403312e73f83
SHA1..: a7cc2fe6306f7a253b84711ba037bdc4649c3410
SHA256: 61079806438c5f535f7abb9ed456bf5662fa28cfee31d080d2e4e8a4868a86ba
SHA512: c2b49be24e8f2569b4eedc75aee6325fb785806fe71cffc7012bbff74629bb8a<BR>f82b4c50d927645c4d5d4835cbbdd79a5f098a35c36d003b70b12491e391258d
ssdeep: 6144:FfUh3auEp8RvI51Gw2WUGR+KmtVNpevBoz0IZTlIzjSyqonAzui84yoV+:J<BR>NpivM1GwXO4oz0IdquonA4VoV<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Executable Generic (38.5%)<BR>Win32 Dynamic Link Library (generic) (34.2%)<BR>Clipper DOS Executable (9.1%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x7bd0<BR>timedatestamp.....: 0x47c2a723 (Mon Feb 25 11:31:47 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name        viradd    virsiz   rawdsiz  ntrpy  md5<BR>.text       0x1000    0x7072    0x8000   6.11  53b0da5b2015158bb51836e66e2371d9<BR>.rdata      0x9000     0x206    0x1000   0.66  3ceb0030f5aac7447585eebbebdca7c3<BR>.data       0xa000   0x441c0   0x45000   7.98  dea9551bb5c8c1ece6bb44734f95ba5f<BR>.reloc     0x4f000    0x9390    0x1000   0.42  3091d434cb7a9b4e9f7a1f880d100797<BR><BR>( 2 imports )  <BR>&gt; ntdll.dll: memcpy, memcmp<BR>&gt; KERNEL32.dll: VirtualProtect, GetEnvironmentVariableW, CreateFileA, Sleep, VirtualAlloc, VirtualFree, GetProcAddress, LoadLibraryA, WriteFile<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-

[fp_post]

...
Может имелось ввиду уязвимы все браузеры, где стоит дырявый плагин Adobe Reader?

имеется в виду не сплоит подо все мыслимые браузеры, а техника перехвата трафика

Комменты (см. пост от 09 April 2009 at 2:45am):
http://forum.sysinternals.com/forum_posts.asp?TID=18486

[ALEX(XX)]

В статье Буткит: вызов 2008 говорится следующее

В большинстве случаев, чтобы заразить компьютеры пользователей, злоумышленники взламывают легальный сайт и размещают на его страницах ссылки на свои ресурсы, оснащенные эксплойтами. Такая техника носит название «drive-by-download». Она позволяет в скрытом режиме устанавливать вредоносные программы на компьютер пользователя при посещении им зараженного сайта.

Но это было в то время..

[santy]

ESET Win32/Mebroot fixer v.1.01 - Copyright (c) 2008 ESET spol. s r.o.
MBR rootkit (Win32/Mebroot) was not found on your system.

http://download.eset.com/special/EMebRemover.exe

[Rampant]

Ссылка на утилиту по удалению Kido.