Ráharaptak az FTP-re a vírusírók

A kártékony programok működését vezérlő szerverek kapcsán egy viszonylag szokatlan jelenség ütötte fel a fejét. Ezúttal az FTP került középpontba.
 

A vírusterjesztők és a biztonsági cégek között abból a szempontból is dúl a harc, hogy a kártékony programok és a vezérlőszerverek között miként lehet megvalósítani a kommunikációt. Nyilván a vírusírók azt akarják elérni, hogy a szerzeményeik minél tovább legyenek képesek észrevétlenül adatokat küldeni, illetve fogadni. Ezzel szemben a védelmi technológiák fejlesztőinek olyan megoldásokat kell találniuk, amik ezt a fajta nemkívánatos kommunikációt minél gyorsabban tudják blokkolni. Ez utóbbi nem egyszerű feladat, hiszen a trójai programok és egyéb károkozók számos esetben titkosított módon fogadják és küldik az adatokat, például a HTTPS adta lehetőségek kihasználásával.
 
A Trend Micro kutatói által legutóbb vizsgált számítógépes károkozó azonban némileg más utat választott, ugyanis a vezérlőszerverével való kapcsolattartást FTP-n keresztül valósítja meg. Ennek a megoldásnak alapvetően két vetülete van. Egyrészt egy – e téren – viszonylag szokatlan protokoll kerül bevetésre, ami minden bizonnyal sok védelmi megoldás figyelmét kerüli el. Másrészt viszont nem titkosított az adatforgalom, így az könnyen elemezhető.

Egy szokásos forgatókönyv
 
A biztonsági cég szerint a vírusterjesztés ezúttal is egy kártékony makrókat tartalmazó dokumentummal veszi kezdetét. Ilyen küldemények e-mailekben terjednek, amelyek eddig legtöbbször a Vöröskereszthez és a WHO-hoz köthető személyek postafiókjaiban landoltak. Amikor a felhasználó a csatolmányt megnyitja, és engedélyezi a makrók futtatását, akkor a Windows átmeneti fájlok tárolására szolgáló (Temp) mappájába bekerül egy .exe kiterjesztésű fájl, amely a káros dokumentumban Base64 kódolással kap helyet. Ezt a futtatható fájlt aztán a makró elindítja, és kezdetét veszi a tényleges károkozás.
 
A fertőzésben a már 2012 óta ismert Sanny trójai is szerepet kap. A kártékony kód attól függően települ fel a PC-re, hogy az azon futó Windows 32 vagy 64 bites. Ezt követően egy kötegelt (.bat) állomány felhasználásával Windows-os folyamatok megfertőzésére kerül sor, miközben egy Windows-os szolgáltatás is létrejön COMSysApp néven. Végül pedig egy konfigurációs fájl kerül be a %Windows%\System32 mappába.

Jön az FTP
 
Amikor a trójai végez az előkészítő tevékenységével, akkor kapcsolódik a vezérlőszerveréhez FTP-n keresztül, és letölt egy sima szöveges (.txt) állományt, amely parancsokat tartalmaz. Ezeket a károkozó végrehajtja. Elsősorban fájlműveletekre, adatok kiszivárogtatására, illetve további tetszőleges programok letöltésére és futtatására vehető rá. Vagyis akár további vírusfertőzéseknek is képes megágyazni.
 
A biztonsági kutatók szerint a kártékony program vizsgált variánsa egy hiba miatt nem képes minden számára kijelölt feladatot elvégezni. Ugyanakkor könnyen elképzelhető, hogy ezt a programozói hibát a vírusírók gyorsan orvosolják majd, és a következő verzió több kockázatot hordoz majd.