Исследователи сняли несколько слоев с Vawtrak, относительно нового банковского троянца, настолько сложного, что его сравнивают с матрешкой.

Virus Bulletin опубликовал углубленный анализ зловреда, написанный Раулем Альваресом (Raul Alvarez), исследователем из Fortinet.

Как змейка из домино, Vawtrak состоит из нескольких серий шагов, где каждый инициирует следующий. Первый двоичный исполняемый файл вызывает второй, но перед этим он должен декодировать его, вызвав трио функций API и расшифровав большой блок данных.

«Оверлейная область Vawtrak содержит зашифрованную копию исполняемого бинарника, которая используется в следующем слое. Она должна быть передана и расшифрована в пространстве виртуальной памяти зловреда», — пишет Альварес.

После вызова другой функции API вредоносная программа создает файл изображения «Diana-23.jpg», чтобы пользователь думал, что это единственное, что делает исполняемый файл.

После того как серия модулей проанализирована и из второго слоя зловреда вызвано еще больше функций API, расшифровывается и подвергается декомпрессии исполняемый файл mainOUT-crypted-5. К этому моменту, после декомпрессии, зловред производит то, что Альварес назвал «третьей матрешкой» Vawtrak, — исполняемый файл, наиболее простой из всех четырех слоев.

decryption

Эта часть Vawtrak вообще не имеет защиты, то есть не используется ни дешифрование, ни хэширование. Третья оболочка зловреда убирает программные ограничения и пытается ограничить полномочия, ассоциированные с антивирусными приложениями, ищущими зловреда.

Наконец, четвертая матрешка, если все идет согласно плану, расшифровывает данные и создает динамическую область, которая содержит исполняемый бинарник, .dll, замаскированный под .dat, со случайным именем файла. После развертывания зловред использует еще две функции API, RegCreateKeyA и RegSetValueExW, чтобы зловред остался в действии после перезагрузки.

В то время как вредоносная программа, о которой писали в конце прошлого года, была нацелена, как думали поначалу, на японские банки, Альварес заявил, что она «недавно расширила свой кругозор» и усложнилась за несколько последних месяцев.

«Продемонстрированные Vawtrak умение и изобретательность не просты, но лаконичны», — добавил в заключение Альварес.

В сентябре исследователи узнали, что Vawtrak, который в то время был известен под именем Neverquest, развился до атак на социальные медиа, ритейлеров и игровые порталы. Последние конфигурации позволяют ему перехватывать сессии интернет-банкинга, модифицировать данные в веб-трафике, взламывать шифрование, красть учетные данные и прочую важную информацию.

Категории: Вредоносные программы