Um spambot recente, conhecido como SpamThru, tem como parte de sua rotina a instalação de um antivírus (Kaspersky). O cavalo de tróia utiliza o antivírus para encontrar possíveis concorrentes e eliminá-los do sistema, garantindo assim que a praga tenha controle total e exclusivo sobre o computador infectado.
Spambots como o SpamThru tem o objetivo de tornar o computador infectado um zumbi que envia spam (e-mail comercial publicitário indesejado). Esse tipo de praga possui um claro objetivo financeiro, pois o seu criador “vende” a capacidade de enviar e-mails publicitários para anunciantes que tiverem interesse. O criador do trojan pode enviar milhões de mensagens publicitárias usando os computadores infectados sem que ele precise de uma conexão de alta velocidade.
É normal que pragas deste tipo tentem eliminar a concorrência. Geralmente isso é feito de forma manual, por exemplo, eliminando-se um grupo de arquivos que a praga sabe que pertence a seus rivais para que ela não tenha que dividir a conexão com eles. O SpamThru leva essa briga para um novo nível ao instalar uma versão pirata do Kaspersky Anti-Virus e eliminar qualquer vírus (que não ele mesmo) do sistema.
A praga possui outros recursos interessantes, como o fato de ser controlada por meio de uma rede ponto-a-ponto (P2P) e usar criptografia. A análise completa do trojan (em inglês) pode ser conferida no site SecureWorks »
Linha Defensiva 
Pelo que vi o Kaspersky não detectou nada de anormal no arquivo. A empresa já emitiu alguma nota relativa ao fato de seu antivírus estar sendo usado dessa maneira?
CurtirCurtir
Luciana
Infelizmente não há nada que a Kaspersky possa fazer pra proibir que o antivírus deles seja usado dessa forma. É provável que o antivírus seja baixado de um servidor pirata, ou seja, um servidor que a Kaspersky sequer tem o controle.
Quanto a não ser detectado no VirusTotal, isso já deve ter mudado, visto que o VirusTotal envia os arquivos examinados para todas as companhias. Dessa forma a Kaspersky já deve ter atualizado as bases pra detectar o vírus também. Mas isso não faz diferença porque o vírus tem um sistema onde ele pula os arquivos que pertencem a sua própria instalação.
CurtirCurtir
Olá, este worm não baixa o Kaspersky de nenhum servidor ele leva no seu codigo a aplicação, que pode ser transportada por codificação ou encpsulada. Qdo a maquina é infectada ocorre a extração da mesma para o mundo exterior. Esta técnica é conhecida no mundo VX (Virus eXpert) por Injeção viral de arquivos. Certamente o anti virus é configurado para não atacar o worm, mas mesmo assim ele terá q matar os processos de outros antivirus pra possibilitar o funcionamento perfeito. A instalação não ocorre da maneira normal. O Arquivo principal do antivirus é instalado com suas bibliotecas basicas em uma pasta qualquer. Com isso, o worm faz a execução do antivírus. Eu conheço esta tecnica, criei um trojan q captura a tela do PC infectado em formato de arquivo avi q é depois enviado por e-mail, conforme mostra um link espanhol:
http://www.hispasec.com/laboratorio/troyano_video.htm
Estou finalizando um livro q explica como se faz, qq coisa entrar em contato com meu e-mail.
CurtirCurtir
ontreus
Gostamos de correções, quando elas são corretas, o que não é o caso do que você disse.
No artigo da SecureWorks, está escrito:
Que se traduz para:
Só porque você criou um vírus não significa que você entende algo sobre como os outros funcionam.
Sobre extrair arquivos para fora de um contenedor, isso é chamado de instalação de arquivos e é feito por qualquer instalador de programas e muitos vírus, adwares e etc que necessitam extrair componentes.
VX, em relação a vírus, significa Virus eXchange. Está no nosso dicionário.
Por último, a notícia do trojan/vídeo nós demos antes do VirusTotal/Hipasec em um Alerta de Segurança, no fórum.
CurtirCurtir
tsc,tsc…Não sei por que vc se ofendeu e meu objetivo não era esse! Eu não iria postar algo que não pudesse provar!
Estou vendo que vc talvez não seja programador, tudo bem eu também não sei programar em todas as linguagens de programação ainda!Mas muitos acham que informática é acessar blogs, ou orkut ou navegar pela net. Ninguém é obrigado a saber programar!
VX significa Virus eXpert ou outra denominação usada é de Vírus Maker… Mas isto não irá fazer diferença alguma.
A EXTRAÇÃO PODE SER FEITA RIDICULAMENTE USANDO UM INSTALLSHIELD da vida, se o VX assim o quisesse, mas seria muito tosco e pesado de mais para um worm se proliferar.
Não é por que o site estrangeiro como o SecureWorks diz que é de uma maneira! que é verdade.
Engraçado que todos os processos para segurança digital continuam a desejar, não existe nada completo e bom atualmente.
Se é verdadeiro que o projeto deste worm SpamThru ao usar esta tática: “… carregar uma DLL de seu servidor de controle…”
Como conseqüência será um verdadeiro fracasso, pois basta tornar inacessível o caminho para deixá-lo inoperante. Com isto esta DLL deve ser levada juntamente com o projeto, assim com uma aplicação leve do Kaspersky.
E Vou PROVAR, para isso usei o delphi7 e os componentes DMIME que podem ser abaixado no link:
http://www.zeitungsjunge.de/delphi/mime/
Basta agora seguir as atividades que irei citar:
01 – Abra um novo projeto no seu delphi7 e adicione 02 TButton, se localizam na paleta standart;
02- No evento OnClique de uns dos TButtons adicione o código que segue abaixo:
procedure TForm1.Button1Click(Sender: TObject);
begin
MimeEncodeFile(‘c:WindowsSystem32Calc.exe’,’c:vxbrasil.txt’)
end;
Este botão ao ser acionado irá capturar o executável Calç.exe e irá transformá-lo em um arquivo de texto de nome vxbrasil.txt direto na raiz do drive “C”
Na verdade este arquivo vxbrasil.txt é o Calc.exe transformado em uma string.
03 No evento do segundo Botão, vc deve adicionar o fragmento de código abaixo:
procedure TForm1.Button2Click(Sender: TObject);
begin
if fileexists(‘c:vxbrasil.txt’) then
MimeDecodeFile(‘c:vxbrasil.txt’,’c:Calc.exe’)
end;
Se este botão for executado ele transforma o arquivo vxbrasil.txt na Calc.exe novamente na raiz do Drive C.
Não esquecendo que na hora de compilar o projeto os arquivos descompactados do componente DMime deve estar na mesma pasta do seu projeto e no escopo de visibilidade seção units e deve ser declarada a chamada dos componentes, como segue o código completo abaixo:
unit BASE;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, DIMimeStreams;
type
TForm1 = class(TForm)
Button1: TButton;
Button2: TButton;
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
implementation
{$R *.dfm}
procedure TForm1.Button1Click(Sender: TObject);
begin
MimeEncodeFile(‘c:WindowsSystem32Calc.exe’,’c:vxbrasil.txt’)
end;
procedure TForm1.Button2Click(Sender: TObject);
begin
MimeDecodeFile(‘c:vxbrasil.txt’,’c:Calc.exe’)
end;
end.
Ao executar o programa qq um, q assim o fizer, irá verificar q a calculadora do Windows de certa maneira se transporta da sua pasta original para raiz do seu drive “C”.
CONSEQUENTEMENTE, Vc pode alterar o projeto e adicionar um TMemo e colocar o conteúdo do arquivo vxbrasilt.txt codificado em Base64 dentro dele e fazer sua extração.
Foi assim que foi feito com o antivírus Kaspersky e as DLL. E isso se Chama Injeção Viral de Arquivos.
Bem, não é só por q a noticia vem de outros paises que o malware pode ser criado por alguém de lá de fora. Pode ter sido feito aki, no Brasil e o mesmo falo para o keylogger de vídeo!
Desculpe se vc esta ofendido! minha intenção não era essa, Eu queria apenas transmitir o que eu sei para outros profissionais!
Estou finalizando uma obra que ensina como foi criado o keylogger de video e que tb pode ser adaptado para levar um antivirus se assim o quiserem e de maneira bem didática se alguém quiser maiores detalhes é só entrar em contato comigo!
Saudações VX (Virus eXperts!)
Fui
CurtirCurtir
Não me ofendi, mas parece que você se ofendeu.
Então não devia ter postado, porque quem conseguiu entender viu que você apenas provou que não sabe nada sobre o que está falando.
Não sou programador. Mas não preciso ser um pra saber se um vírus baixa um componente da web ou carrega ele dentro de si. Aliás, tudo que se precisa para saber isso é ver o tamanho do arquivo.
E porque você, que sequer tem o código malicioso em questão na mão, disse, é?
Talvez seja porque você não os conhece?
Mas se você é tão inteligente, invente um programa de segurança bom. Há um grande mercado para bons produtos. Você pode ficar rico.
Esta frase mostra o seu profundo desentendimento sobre o assunto. Vírus precisam ser pequenos para se disseminarem rápido. Carregar um antivírus inteiro dentro de si seria ridículo e tornaria seu verme uma lesma.
Também mostra que você não entende o conceito sobre redes P2P (ou pulou essa parte). Supondo que implementação de ponto-a-ponto do worm é boa, ele é descentralizado, o que significa que o servidor de controle pode mudar de endereço e o worm continuar operante.
Além disso, você desconhecesse os recursos utilizados por programadores de vírus como esse. Converse com pessoas que denunciam abuso (o que você, sendo um bom cidadão da Internet, já deve ter feito) e mencione os nomes INhoster e InterCage para ver se algo dentro desses servidores pode ser “derrubado”, como você sugere.
O Kaspersky Anti-Virus possui 13MB. Creio que a versão utilizada pelo worm é menor, mas não tão pequena como os programadores de vírus precisam.
Você tem o arquivo EXE do vírus? Você analisou? Me manda para que eu possa analisar?
Você, que não usa sequer seu nome completo para postar, quer que eu acredite em uma afirmação dessas?
Aparentemente ninguém conhece, porque uma busca por “Injeção Viral de Arquivos” no Google só retorna uma página: essa.
Creio que você reinventou a roda e deu um novo nome a ela: “objeto circular que gira”.
Os comentários nesse post estão fechados por terem se passado 21 dias da data de postagem do artigo original. Se quer continuar esse “debate”, sugiro que use o fórum.
CurtirCurtir