Исследователи из Sophos обнаружили вариант банкера Gameover (р2р-модификации ZeuS), использующий руткит режима ядра в версиях 32 и 64 бит. Анализ показал, что авторы нововведения попросту позаимствовали технологию, реализованную ранее в даунлоудере Necurs.

В конце февраля снабженный руткитом Gameover распространялся с помощью поддельных спам-сообщений, ориентированных на франкоязычных клиентов британского банка HSBC. Получателя от имени HSBC France уведомляли о платежной операции по его счету и предлагали ознакомиться с деталями, открыв ZIP-вложение. Этот архив, по свидетельству экспертов, содержал исполняемый файл, детектируемый как даунлоудер Upatre. При активации он загружает и запускает Gameover, который копирует себя в директорию Application Data с персональным «тэгом» — коротким блоком двоичных данных. Этот идентификатор жестко привязывает зловреда к данной системе, предотвращая его анализ в другой среде и детектирование методом контрольных сумм.

Завершив первый этап заражения, Gameover инициирует загрузку релевантного руткита, который реализован как драйвер, работающий в режиме ядра. Если жертва использует 32-битную Windows без прав администратора, зловред пытается повысить привилегии, атакуя известную и давно закрытую уязвимость CVE-2010-4398. Если патч был установлен, Gameover постарается получить разрешение на административный доступ с помощью пользователя, так как попытка загрузки руткита вызовет диалоговое окно UAC (службы контроля учетных записей) с соответствующим запросом.

Руткит в 64-битной версии более опасен, так как снабжен тестовой цифровой подписью. Если Windows была загружена с ключом TESTSIGNING, зловред сможет обеспечить запуск своего драйвера, внеся соответствующие изменения в загрузчик ОС с помощью штатной утилиты bcdedit.exe (редактора данных конфигурации загрузки).

Руткит значительно повышает шансы Gameover на долгожительство и предотвращает блокировку его процессов. «Использование руткита сильно затрудняет удаление зловреда с зараженной машины, — отмечают эксперты. — Сроки присутствия инфекции увеличиваются, растут и объемы данных, аккумулируемых на контроллерах Gameover-ботнета».

По свидетельству Sophos, руткит-технологии не новинка для ZeuS. Ранние версии данного банкера использовали руткит режима пользователя для защиты своих записей в директории и системном реестре. Однако к моменту выхода ZeuS версии 2 этот руткит уже был изъят из оборота, так как оказался неэффективным.

Категории: Вредоносные программы