19 agosto 2015

Agli analisti dei virus della società Doctor Web sono ben noti i programmi malevoli della famiglia Trojan.LoadMoney — sono invariabilmente nella top 10 delle minacce che vengono rilevate dall'Antivirus Dr.Web. A questa categoria appartengono vari installer che installano sul computer vittima componenti indesiderabili insieme ai software voluti dall'utente. Però alcune varianti del Trojan.LoadMoney possiedono le funzionalità più ampie — per esempio possono raccogliere e trasmettere ai malintenzionati diverse informazioni circa il computer attaccato. Descriviamo in quest'articolo uno di tali trojan, aggiunto ai database dei virus Dr.Web sotto il nome del Trojan.LoadMoney.336.

Questo programma malevolo - installer, creato dagli autori dei virus per la monetizzazione di traffico di file, utilizza il seguente principio nel corso del suo funzionamento. Una potenziale vittima trova un file su un sito di condivisione dei malfattori e prova a scaricarlo. A questo punto l'utente viene reindirizzato automaticamente su un sito intermedio da cui sul computer viene scaricato il Trojan.LoadMoney.336. Dopo l'avvio il trojan si connette a un altro server da cui riceve un file di configurazione cifrato. Questo file contiene link di varie applicazioni di partner che anche vengono scaricate da Internet e vengono avviate sul computer infetto, nonché di programmi di pubblicità e di software decisamente malevoli: così, agli analisti dei virus è noto che il Trojan.LoadMoney.336 scarica il trojan Trojan.LoadMoney.894 che a sua volta scarica il Trojan.LoadMoney.919 e il Trojan.LoadMoney.915 quest'ultimo scarica e installa il Trojan.Zadved.158 sulla macchina infetta.

Dopo l'avvio, il trojan esegue una serie di manipolazioni nel sistema in modo da facilitare il proprio funzionamento e da evitare di essere rilevato tra gli altri processi in esecuzione. In particolare, impedisce di terminare Windows, e quando l'utente cerca di spegnere il computer, restituisce l'errore "Download e installazione degli aggiornamenti in corso". Dopo un'inizializzazione riuscita, il Trojan.LoadMoney.336 attende finché non sarà fermato il puntatore del mouse e quindi avvia due sue copie e rimuove il file originale.

Il trojan raccoglie sul computer infetto e trasmette ai malfattori le seguenti informazioni:

• versione del sistema operativo;
• informazioni sugli antivirus installati;
• informazioni sui firewall installati;
• informazioni sugli spyware installati;
• informazioni sul modello della scheda video;
• informazioni sulla quantità di memoria operativa;
• informazioni circa i dischi rigidi e le partizioni;
• informazioni sul produttore OEM del PC;
• informazioni sul tipo della scheda madre;
• informazioni sulla risoluzione dello schermo;
• informazioni sulla versione del BIOS;
• informazioni sulla disponibilità dei privilegi di amministratore nell'account corrente di Windows;
• informazioni circa le applicazioni per l'apertura dei file *.torrent;
• informazioni circa le applicazioni per l'apertura dei link magnet.

Quindi il Trojan.LoadMoney.336 manda una richiesta GET sul suo server di controllo e riceve da esso una risposta cifrata che contiene link per il successivo download di file. Il download viene eseguito in un flusso separato: il trojan manda una rispettiva richiesta HEAD sul server che ospita i file necessari; se il server restituisce l'errore 405 (Method Not Allowed) oppure 501 (Not Implemented), il trojan manda sul server una richiesta GET ripetuta. Se il link di un file target indicato nei dati di configurazione risulta corretto, il trojan estrae le informazioni circa la lunghezza del file e il suo nome dalla risposta del server, dopodiché inizia a scaricare l'applicazione.

Oltre ai link dei componenti da scaricare e installare, il file di configurazione cifrato contiene le informazioni circa la finestra di dialogo che viene visualizzata prima della loro installazione.