Képfájlokban rejtőzik az adatlopó vírus

Az adatlopásra specializálódott Stegoloader trójai látszólag teljesen ártalmatlan képállományok segítségével fertőzi meg a számítógépeket. Az ellenszer már elkészült.
 

A vírusírók mindent megtesznek annak érdekében, hogy a szerzeményeik minél hosszabb életűek legyenek, azaz a víruskeresők minél később legyenek képesek felismerni a kártékony kódjaikat. A károkozók rejtésére szolgáló trükkök tárháza kimeríthetetlennek tűnik, de ez nem azt jelenti, hogy a kiberbűnözők felhagynának a régebb óta alkalmazott módszereikkel. Ezt példázza az a napokban felfedezett károkozó is, amely sokáig fertőzte a számítógépeket, és rejtőzködött az antivírus technológiák előtt. 

A Dell SecureWorks csapata szerint a Stegoloader névre keresztelt trójai program több szempontból is képes megnehezíteni a detektálását. Egyrészt azáltal, hogy a károkozásokhoz használt kódja képállományok formájában kerül fel a számítógépekre. Másrészt pedig azért, mert egész egyszerűen nem indul el olyan rendszereken, amelyek vírusok detektálására szolgálnak. 

Így fertőz a Stegoloader 

A trójai több fázisban fertőzi meg a számítógépeket. Először a rendszerekre egy fájlletöltésekre alkalmas program kerül fel. Ezt a Dell kutatói "deployment modulként" emlegetik. Ennek nem kizárólag csak az a feladata, hogy egy kijelölt szerverről beszerezze a károkozó többi összetevőjét, hanem az is, hogy mielőtt a valóban veszélyt jelentő komponenseket letölti, azelőtt meggyőződjön a Stegoloaderre leselkedő veszélyekről. Ennek során figyeli az egérrel végzett műveleteket, és ha a kurzor egy jó ideig nem mozdul, vagy azt nagyon kiszámíthatóan teszi (például sandboxban emulálják a mozgást), akkor azonnal leállítja a folyamatát. Akkor is ezt teszi, ha olyan alkalmazásokat észlel, amelyek a vizsgálatát segíthetik. Így például érzékeny a Wireshark, a Fiddler, a Sandboxie, az InCtrl5 és az OllyDBG jelenlétére is. 

Amennyiben a letöltő modul nem észlel rá nézve kockázatos szoftvert vagy környezetet, akkor nekilát letölteni a főmodult egy előre meghatározott távoli kiszolgálóról. Azonban ezt sem a szokványos módon teszi, ugyanis ebben a fázisban tulajdonképpen egy ártalmatlannak látszó képállományt szerez be. A PNG-formátumú kép sok problémát vethet fel. A deployment modul ugyanis pixelről pixelre végigelemzi a fájlt, és abból kinyer egy (RC4 algoritmussal) titkosított kódot. Ezt egy beépített dekódoló kulccsal visszafejti, és betölti a memóriába. Itt érdemes megjegyezni, hogy ezt a fajta képes trükköt nem kizárólag a Stegoloader alkalmazza. Hasonló technikát vetett be egyebek mellett a Duqu, illetve annak nemrégen leleplezett 2.0-ás változata is. 
A Stegoloader azzal is megpróbál védekezni a víruskeresőkkel szemben, hogy a kritikus állományait nem menti le a merevlemezre. Mind a letöltött képfájl, mind a dekódolt kód kizárólag a memóriában található meg. Ez azonban nem okoz gondot a trójai számára, hiszen a legfontosabb feladatát így is képes ellátni. Ez pedig nem más, mint az adatlopás. A vezérlőszervereire rendszerinformációkat, webböngészők (Internet Explorer, Firefox, Chrome) által eltárolt adatokat tölt fel titkosított módon. Emellett pedig egy hátsó kaput létesít, és várja a terjesztői által kiadott utasításokat. 

A Stegoloader fontos jellemzője, hogy moduláris felépítésű. A már említett deployment és főmodul mellett olyan kiegészítők is készültek hozzá, amelyek különféle alkalmazásokból képesek adatokat (felhasználóneveket, jelszavakat stb.) kinyerni, vagy akár reklámokkal bombázni a felhasználókat. 

A Stegoloadert most már a legtöbb víruskereső felismeri, így naprakészen tartott antivírus alkalmazásokkal hatékonyan lehet védekezni a trójai ellen.