Um spambot recente, conhecido como SpamThru, tem como parte de sua rotina a instalação de um antivírus (Kaspersky). O cavalo de tróia utiliza o antivírus para encontrar possíveis concorrentes e eliminá-los do sistema, garantindo assim que a praga tenha controle total e exclusivo sobre o computador infectado.

Spambots como o SpamThru tem o objetivo de tornar o computador infectado um zumbi que envia spam (e-mail comercial publicitário indesejado). Esse tipo de praga possui um claro objetivo financeiro, pois o seu criador “vende” a capacidade de enviar e-mails publicitários para anunciantes que tiverem interesse. O criador do trojan pode enviar milhões de mensagens publicitárias usando os computadores infectados sem que ele precise de uma conexão de alta velocidade.

É normal que pragas deste tipo tentem eliminar a concorrência. Geralmente isso é feito de forma manual, por exemplo, eliminando-se um grupo de arquivos que a praga sabe que pertence a seus rivais para que ela não tenha que dividir a conexão com eles. O SpamThru leva essa briga para um novo nível ao instalar uma versão pirata do Kaspersky Anti-Virus e eliminar qualquer vírus (que não ele mesmo) do sistema.

A praga possui outros recursos interessantes, como o fato de ser controlada por meio de uma rede ponto-a-ponto (P2P) e usar criptografia. A análise completa do trojan (em inglês) pode ser conferida no site SecureWorks »

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

6 Comments

  1. Pelo que vi o Kaspersky não detectou nada de anormal no arquivo. A empresa já emitiu alguma nota relativa ao fato de seu antivírus estar sendo usado dessa maneira?

    Curtir

  2. Luciana

    Infelizmente não há nada que a Kaspersky possa fazer pra proibir que o antivírus deles seja usado dessa forma. É provável que o antivírus seja baixado de um servidor pirata, ou seja, um servidor que a Kaspersky sequer tem o controle.

    Quanto a não ser detectado no VirusTotal, isso já deve ter mudado, visto que o VirusTotal envia os arquivos examinados para todas as companhias. Dessa forma a Kaspersky já deve ter atualizado as bases pra detectar o vírus também. Mas isso não faz diferença porque o vírus tem um sistema onde ele pula os arquivos que pertencem a sua própria instalação.

    Curtir

  3. Olá, este worm não baixa o Kaspersky de nenhum servidor ele leva no seu codigo a aplicação, que pode ser transportada por codificação ou encpsulada. Qdo a maquina é infectada ocorre a extração da mesma para o mundo exterior. Esta técnica é conhecida no mundo VX (Virus eXpert) por Injeção viral de arquivos. Certamente o anti virus é configurado para não atacar o worm, mas mesmo assim ele terá q matar os processos de outros antivirus pra possibilitar o funcionamento perfeito. A instalação não ocorre da maneira normal. O Arquivo principal do antivirus é instalado com suas bibliotecas basicas em uma pasta qualquer. Com isso, o worm faz a execução do antivírus. Eu conheço esta tecnica, criei um trojan q captura a tela do PC infectado em formato de arquivo avi q é depois enviado por e-mail, conforme mostra um link espanhol:
    http://www.hispasec.com/laboratorio/troyano_video.htm
    Estou finalizando um livro q explica como se faz, qq coisa entrar em contato com meu e-mail.

    Curtir

  4. ontreus

    Gostamos de correções, quando elas são corretas, o que não é o caso do que você disse.

    No artigo da SecureWorks, está escrito:

    At startup, SpamThru requests and loads a DLL from the control server. This DLL in turn downloads a pirated copy of Kaspersky AntiVirus for WinGate from the control server into a concealed directory on the infected system.

    Que se traduz para:

    Ao iniciar, o SpamThru carrega uma DLL de seu servidor de controle. Essa DLL, por sua vez, baixa uma cópia pirata do Kaspersky AntiVirus para WinGate do servidor de controle para uma pasta ocullta no sistema infectado.

    Só porque você criou um vírus não significa que você entende algo sobre como os outros funcionam.

    Sobre extrair arquivos para fora de um contenedor, isso é chamado de instalação de arquivos e é feito por qualquer instalador de programas e muitos vírus, adwares e etc que necessitam extrair componentes.

    VX, em relação a vírus, significa Virus eXchange. Está no nosso dicionário.

    Por último, a notícia do trojan/vídeo nós demos antes do VirusTotal/Hipasec em um Alerta de Segurança, no fórum.

    Curtir

  5. tsc,tsc…Não sei por que vc se ofendeu e meu objetivo não era esse! Eu não iria postar algo que não pudesse provar!

    Estou vendo que vc talvez não seja programador, tudo bem eu também não sei programar em todas as linguagens de programação ainda!Mas muitos acham que informática é acessar blogs, ou orkut ou navegar pela net. Ninguém é obrigado a saber programar!
    VX significa Virus eXpert ou outra denominação usada é de Vírus Maker… Mas isto não irá fazer diferença alguma.
    A EXTRAÇÃO PODE SER FEITA RIDICULAMENTE USANDO UM INSTALLSHIELD da vida, se o VX assim o quisesse, mas seria muito tosco e pesado de mais para um worm se proliferar.

    Não é por que o site estrangeiro como o SecureWorks diz que é de uma maneira! que é verdade.
    Engraçado que todos os processos para segurança digital continuam a desejar, não existe nada completo e bom atualmente.

    Se é verdadeiro que o projeto deste worm SpamThru ao usar esta tática: “… carregar uma DLL de seu servidor de controle…”
    Como conseqüência será um verdadeiro fracasso, pois basta tornar inacessível o caminho para deixá-lo inoperante. Com isto esta DLL deve ser levada juntamente com o projeto, assim com uma aplicação leve do Kaspersky.

    E Vou PROVAR, para isso usei o delphi7 e os componentes DMIME que podem ser abaixado no link:
    http://www.zeitungsjunge.de/delphi/mime/
    Basta agora seguir as atividades que irei citar:
    01 – Abra um novo projeto no seu delphi7 e adicione 02 TButton, se localizam na paleta standart;
    02- No evento OnClique de uns dos TButtons adicione o código que segue abaixo:
    procedure TForm1.Button1Click(Sender: TObject);
    begin
    MimeEncodeFile(‘c:WindowsSystem32Calc.exe’,’c:vxbrasil.txt’)
    end;

    Este botão ao ser acionado irá capturar o executável Calç.exe e irá transformá-lo em um arquivo de texto de nome vxbrasil.txt direto na raiz do drive “C”
    Na verdade este arquivo vxbrasil.txt é o Calc.exe transformado em uma string.
    03 No evento do segundo Botão, vc deve adicionar o fragmento de código abaixo:
    procedure TForm1.Button2Click(Sender: TObject);
    begin
    if fileexists(‘c:vxbrasil.txt’) then
    MimeDecodeFile(‘c:vxbrasil.txt’,’c:Calc.exe’)
    end;

    Se este botão for executado ele transforma o arquivo vxbrasil.txt na Calc.exe novamente na raiz do Drive C.
    Não esquecendo que na hora de compilar o projeto os arquivos descompactados do componente DMime deve estar na mesma pasta do seu projeto e no escopo de visibilidade seção units e deve ser declarada a chamada dos componentes, como segue o código completo abaixo:

    unit BASE;
    interface
    uses
    Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
    Dialogs, StdCtrls, DIMimeStreams;
    type
    TForm1 = class(TForm)
    Button1: TButton;
    Button2: TButton;
    procedure Button1Click(Sender: TObject);
    procedure Button2Click(Sender: TObject);
    private
    { Private declarations }
    public
    { Public declarations }
    end;
    var
    Form1: TForm1;
    implementation
    {$R *.dfm}
    procedure TForm1.Button1Click(Sender: TObject);
    begin
    MimeEncodeFile(‘c:WindowsSystem32Calc.exe’,’c:vxbrasil.txt’)
    end;
    procedure TForm1.Button2Click(Sender: TObject);
    begin
    MimeDecodeFile(‘c:vxbrasil.txt’,’c:Calc.exe’)
    end;
    end.

    Ao executar o programa qq um, q assim o fizer, irá verificar q a calculadora do Windows de certa maneira se transporta da sua pasta original para raiz do seu drive “C”.
    CONSEQUENTEMENTE, Vc pode alterar o projeto e adicionar um TMemo e colocar o conteúdo do arquivo vxbrasilt.txt codificado em Base64 dentro dele e fazer sua extração.
    Foi assim que foi feito com o antivírus Kaspersky e as DLL. E isso se Chama Injeção Viral de Arquivos.
    Bem, não é só por q a noticia vem de outros paises que o malware pode ser criado por alguém de lá de fora. Pode ter sido feito aki, no Brasil e o mesmo falo para o keylogger de vídeo!
    Desculpe se vc esta ofendido! minha intenção não era essa, Eu queria apenas transmitir o que eu sei para outros profissionais!
    Estou finalizando uma obra que ensina como foi criado o keylogger de video e que tb pode ser adaptado para levar um antivirus se assim o quiserem e de maneira bem didática se alguém quiser maiores detalhes é só entrar em contato comigo!
    Saudações VX (Virus eXperts!)
    Fui

    Curtir

  6. Não sei por que vc se ofendeu e meu objetivo não era esse!

    Não me ofendi, mas parece que você se ofendeu.

    Eu não iria postar algo que não pudesse provar!

    Então não devia ter postado, porque quem conseguiu entender viu que você apenas provou que não sabe nada sobre o que está falando.

    Estou vendo que vc talvez não seja programador, tudo bem eu também não sei programar em todas as linguagens de programação ainda!

    Não sou programador. Mas não preciso ser um pra saber se um vírus baixa um componente da web ou carrega ele dentro de si. Aliás, tudo que se precisa para saber isso é ver o tamanho do arquivo.

    Não é por que o site estrangeiro como o SecureWorks diz que é de uma maneira! que é verdade

    E porque você, que sequer tem o código malicioso em questão na mão, disse, é?

    Engraçado que todos os processos para segurança digital continuam a desejar, não existe nada completo e bom atualmente.

    Talvez seja porque você não os conhece?

    Mas se você é tão inteligente, invente um programa de segurança bom. Há um grande mercado para bons produtos. Você pode ficar rico.

    Como conseqüência será um verdadeiro fracasso, pois basta tornar inacessível o caminho para deixá-lo inoperante.

    Esta frase mostra o seu profundo desentendimento sobre o assunto. Vírus precisam ser pequenos para se disseminarem rápido. Carregar um antivírus inteiro dentro de si seria ridículo e tornaria seu verme uma lesma.

    Também mostra que você não entende o conceito sobre redes P2P (ou pulou essa parte). Supondo que implementação de ponto-a-ponto do worm é boa, ele é descentralizado, o que significa que o servidor de controle pode mudar de endereço e o worm continuar operante.

    Além disso, você desconhecesse os recursos utilizados por programadores de vírus como esse. Converse com pessoas que denunciam abuso (o que você, sendo um bom cidadão da Internet, já deve ter feito) e mencione os nomes INhoster e InterCage para ver se algo dentro desses servidores pode ser “derrubado”, como você sugere.

    Com isto esta DLL deve ser levada juntamente com o projeto, assim com uma aplicação leve do Kaspersky.

    O Kaspersky Anti-Virus possui 13MB. Creio que a versão utilizada pelo worm é menor, mas não tão pequena como os programadores de vírus precisam.

    Foi assim que foi feito com o antivírus Kaspersky e as DLL.

    Você tem o arquivo EXE do vírus? Você analisou? Me manda para que eu possa analisar?

    Você, que não usa sequer seu nome completo para postar, quer que eu acredite em uma afirmação dessas?

    E isso se Chama Injeção Viral de Arquivos.

    Aparentemente ninguém conhece, porque uma busca por “Injeção Viral de Arquivos” no Google só retorna uma página: essa.

    Creio que você reinventou a roda e deu um novo nome a ela: “objeto circular que gira”.

    Os comentários nesse post estão fechados por terem se passado 21 dias da data de postagem do artigo original. Se quer continuar esse “debate”, sugiro que use o fórum.

    Curtir

Comentários encerrados.