Erzielen von Gewinn mit Hilfe eines Systems zur Erhöhung des Bekanntheitsgrades von Si-tes

Dieser Tage wurden auf dem auf Laufwerk C: des Computers eines Users potenzielle Schadpro-gramme entdeckt – die Dateien “autorun.exe” und “autorun.inf”, die, so versicherte der User, nach dem Löschen auftauchen.

Nach der ersten Analyse wurde festgestellt, dass viele Dateien heruntergeladen werden, darunter .NET FrameWork, die in der Folgezeit „still“ installiert wird. Das war für mich sehr unerwartet – lange habe ich nicht einen derart frechen Schädling gesehen, der .NET FrameWork installiert. Ich beschloss, dieses Exemplar vollständig zu analysieren. Es zeigte sich, dass es sehr interessant ist – sowohl als Schädling, als auch durch die Art und Weise, in der er seine Komponenten installiert.

Die Ausgangsdatei “autorun.exe” ist ein WinRK SFX – ein Archiv, das heute nicht verbreitet ist. Nach seinem Start läuft eine ganze Kette von Ausführungen verschiedenartiger Dateien ab:

Autorun.exe -> .exe -> !.bat -> start.vbs -> .bat -> Hidden Start inst.bat -> evntstart.exe;

Interessant ist , dass in dieser Aufeinanderfolge nur legale Standardprogramme verwendet werden:

“Autorun.exe” – WinRK SFX;
“.exe” – BatToExe;
“inst.bat” – wid gestartet mit Hilfe von Hidden Start;
“evntstart.exe” – WinRK SFX;

Schadkomponente in diesen Etappen ist nur das Installieren des Dienstes in das Register. Sie ge-währleistet den Start von evntstart.exe. beim Laden des Systems, das Kopieren entpackter Dateien in den Systemordner und den und den Abschluss der Prozesse, die zu SafeSurf gehören. Über das Programm SafeSurf selbst und seinen Anteil an der Schädigung lesen Sie weiter unten. In der Datei inst.bat werden solche System-Utilities wie “taskkill”, “net”, “regedit” usw. aufgerufen.

Nach folgendem Szenario entwickeln sich die weiteren Ereginisse:

Evntstart.exe -> msexec.bat -> jnwmon.bat -> zrgutsp.bat -> ai.bat -> build.bat -> spidermod.bat -> .NET Setup -> SafeSurf start;

Ich detailliere etwas die Zweckbestimmung einer jeden .bat-Datei:

“zrgutsp.bat” – Hinzufügen von Usern mit Administrator-Rechten, Eröffnung des Portes 3389 des TCP-Protokolls für RDP mit Hilfe von netsh und analoge Handlungen;

„ai.bat“ – Installation von RAdmin im verdeckten Regime, zwei Bibliotheken und eine ausführbare Datei, die sich im SFX-Archiv befanden, werden verwendet;

“build.bat” – verdecktes Zusammensetzen von autorun.exe „im Fluge“ mit Hilfe der Hauptdatei des Archivierers WinRK;

“spidermod.bat” – kontinuierliches Entfernen von autorun.inf von allen Platten und Kopieren einer eben dorthin.

“.NET Setup” – das verdeckte Installieren von .NET auf dem Computer des Users aus der Datei jnwmon.bat geschieht folgendermaßen:

if exist %SystemRoot%Microsoft.NETFrameworkv2.0.50727Accessibility.dll goto end
dotnetfxupdt.exe -download http://download.microsoft.com/download/5/6/7/567758a3-759e-473e-bf8f-52154438565a/dotnetfx.exe dotnetfx.exe
dotnetfx.exe /q:a /c:“install /q“

Ich mache darauf aufmerksam, dass in der zweiten Etappe ebenfalls nichts Schädliches verwendet worden ist: “RAdmin”, “netsh”, “net”, “dotnetfx”, “WinRK” – all dies sind legale Programme, darunter auch Systemprogramme. Und jetzt gehen wir ausführliche auf das System JetSwap ein.

Die Site http://www.jetswap.com/full.htm enthält folgende Information:

Das System JetSwap wurde geschaffen, um den Prozess der Bekanntmachens neuer Projekte im Internet zu erleichtern. Nach der Schaffung des Projekts genügt es, auf ihm einen oder mehrere Codes des Systems (bei Installation aller Codes ist der Effekt maximal) unterzubringen und eine kleine Anfangsgruppe von Usern zu gewinnen. Einige Personen pro Tag genügen, die sich die Seiten dieser Site anschauen werden, um viele weitere Besucher zu erhalten. Die Codes des Systems, die für die Installation auf der Site bestimmt sind, erlauben das Automatisieren des Prozesses der Gewinnung von Credits für das Bekanntmachen der Site. Sie werden Credits von Ihren Besuchern erhalten. Dabei reicht es aus, lediglich den Prozess zu beobachten, ohne irgendwelche Handlungen unternehmen zu müssen.

Dieses Schadprogramm installiert auf dem Computer in der Schlussetappe das Programm SafeSurf, das mit dem System JetSwap zusammenarbeitet, und startet es verdeckt auf „autosurfing“. Somit klickt der Computer eines Menschen, der keinerlei Verdacht hegt, die Sites an und verdient Credits für den Besitzer des Accounts. Offenbar hat sich der Missetäter nicht sehr angestrengt, seine Daten zu verbergen – sie sind in offen zugänglich in der Datei *.reg.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREJetSwap]

„autocr“=“1“
„v2″=“1“
„splash“=“1“
„v3″=“1“
„v4″=“0“
„v5″=“1“
„vhd“=“1“
„msurf“=“0“
„surfhide“=“0“
„asurf“=“1“
„minw“=“0“
„login“=“jackmen“
„passh“=“7458bab36c82e74839639c48b9e64a05“

Ich habe nur das Programm mit den Daten im Register ohne die übrigen Schadkomponenten gestartet und das Hauptfenster SafeSurf gesehen. Ich habe sogar die Taste für die Prüfung der Balance betätigt, was auf dem Screenshot gut sichtbar ist.

Screenshot des Programms SafeSurf mit Parametern, die der Virusschreiber in der .reg-Datei angegeben hat

Am Anfang der Mitteilung habe ich erwähnt, dass dieses Schadprogramm sowohl funktionell als auch durch die Art und Weise des Installierens interessant ist, und jetzt werde ich das erläutern. Alle Komponenten sind legal, der gesamte Prozess des Installierens geschieht ebenfalls nur mit Hilfe von Standard- und legalen Programmen, .bat-Dateien, Scripts und Register-Dateien. Somit kann man nur einige Paket-Dateien für schädlich halten. Weil sogar die Ausgangsdatei autorun.exe, die beim User festgestellt wurde, WinRK SFX – ein Archiv ist. Auch die Art und Weise des Erhalts von Geld – mit Hilfe der Installation einer Software, die für das Erhöhen des Bekanntheitsgrades von Sites bestimmt ist – ist interessant.

Gegenwärtig wird das Schadprogramm vom Kaspersky-Labor als Trojan-Clicker.Win32.FrusEfas er-fasst. Besonderen Dank an Oleg Saizew für das zur Verfügung gestellte Material.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.