Исследователи из немецкой ИБ-компании G Data Software обнаружили две разные спам-рассылки, нацеленные на засев вредоносной программы Andromeda, она же Gamarue. Проведенный в начале марта анализ показал, что на настоящий момент C&C-сервер зловреда принимает входящие соединения от зараженных машин, но не отдает команды. По всей видимости, ботнет только формируется — возможно, для сдачи в аренду, и задачи его пока неясны.

В первом случае злоумышленники распространяют вредоносный документ MS Word с именем, которое по-польски обозначает «контракт». По свидетельству экспертов, при открытии этого вложенного файла пользователю отображается уведомление о необходимости включить макрос (по умолчанию их автоматический запуск в Office запрещен). Примечательно, что множественное число от «macro» авторы этого англоязычного сообщения изобразили неверно — «macroses», что должно сразу же насторожить потенциальную жертву.

Как оказалось, вредоносный дроппер скрыт под несколькими слоями обфускации. При активации исходного кода, внедренного в документ Word как макрос, вначале генерируется файл с именем TEMPopenwrite.exe (видимо, вирусописатель забыл поставить слэш в соответствующей строке кода). Затем из того же документа извлекается бинарный код, декодируется и сохраняется в созданном файле. Основным назначением этого упаковщика является извлечение растрового изображения из файла .resource. На основе данного изображения строится байтовый массив, который после декодирования оказался NET-файлом. Такой способ обфускации называется стеганографией.

После загрузки и запуска новый бинарник сохраняет полезную нагрузку непосредственно в память с помощью функции VirtualAlloc(), сразу запуская ее на исполнение. На этом последнем этапе дроппер производит парсинг TEMPopenwrite.exe, считывание exe-кода, проверку наличия и расшифровку определенного фрагмента этого кода. Итог сохраняется в директории %appdata% жертвы под именем msnjauzge.exe и при первом же запуске прописывается в системном реестре на автозапуск.

Второй вариант вредоносных документов Word распространяется спамерами от имени Deutsche Bahn, основного оператора железных дорог Германии. Получателю поддельного письма предлагают скидочную карту в рамках специализированной программы этой компании, с условиями которой можно якобы ознакомиться, открыв прикрепленный doc-файл. Схема инфицирования в данном случае менее сложна, но тоже начинается с запуска вредоносного макроса. Вместо NET-файла при этом загружается исполняемый PE32, в котором хранятся данные, необходимые для генерации msnjauzge.exe и последующего приобщения жертвы к ботнету.

При проверке на тестовой машине целевой зловред попытался установить соединение с C&C, запросив папку Inbox в поддомене ss77.37to.ru. Как уже говорилось выше, никаких команд он при этом не получил, так что назначение нового ботнета исследователям установить не удалось. Как показывает практика, боты Andromeda (в классификации «Лаборатории Касперского» Backdoor.Win32.Androm) нередко используются для загрузки других зловредов, в частности ZeuS и Rovnix.

За последние несколько месяцев способ распространения вредоносного ПО через макросы Office приобрел большую популярность у злоумышленников, и G Data настоятельно рекомендует не запускать их автоматически, а при просмотре нежданных документов вообще их не включать.

Категории: Аналитика, Вредоносные программы, Главное, Спам