18 febbraio 2016

Attualmente sono noti molti programmi malevoli studiati per scaricare ed eseguire sul computer infetto altre applicazioni pericolose, nonché per eseguire comandi pervenuti dai malintenzionati. Un successivo backdoor è stato scoperto dagli analisti dei virus Doctor Web a febbraio; possiede una serie di interessanti caratteristiche che lo distinguono dagli altri trojan simili.

Questo programma malevolo, denominato BackDoor.Andromeda.1407, viene portato sul computer tramite un altro malware Trojan.Sathurbot.1, anche conosciuto come "Hydra". BackDoor.Andromeda.1407 ha il principale obiettivo di eseguire comandi pervenuti dai malintenzionati, per esempio scaricare e installare altro software nocivo.

Quando viene avviato, il backdoor controlla se nella riga di comando è disponibile l'opzione "/test" e se la rileva, visualizza in console il messaggio "\n Test - OK", e quindi termina. Probabilmente, questa funzione è stata prevista dagli autori per i test di vari installer dei programmi. Successivamente il trojan cerca di determinare se sul computer sono in esecuzione macchine virtuali, applicazioni per il monitoraggio dei processi o degli accessi al registro di sistema, e inoltre alcuni altri programmi di debug. Se il backdoor scopre qualche programma per lui pericoloso, cambia in modalità di ibernazione continua.

Al passaggio successivo BackDoor.Andromeda.1407 ottiene il numero di serie del volume di sistema del disco rigido, il quale utilizza attivamente quando genera valori di vari oggetti con nome, in particolare delle variabili di ambiente, oppure nei messaggi spediti sul server di gestione. Subito dopo l'avvio il backdoor cerca di trasferirsi in un nuovo processo tramite inject e di terminare il processo iniziale. Se il programma malevolo si è incorporato nel processo scelto, ottiene una serie di informazioni sulla macchina infettata, in particolare determina il numero di bit dell'SO, la sua versione, i permessi dell'utente attuale e infine i layout di tastiera impostati sul computer. Se il backdoor trova che in Windows è impostato un layout di tastiera russo, ucraino, bielorusso o kazako, il programma termina e si elimina dal sistema automaticamente.

Quindi BackDoor.Andromeda.1407 cerca di determinare l'ora esatta inviando richieste sui server europe.pool.ntp.org, north-america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org, oppure si informa dell'ora di sistema, se le risorse citate non hanno spedito risposte. Il valore del tempo viene utilizzato attivamente dai plugin del trojan in corso di funzionamento. Quindi il backdoor disattiva nelle impostazioni di Windows la visualizzazione di notifiche di sistema e inoltre termina e disattiva alcuni servizi di sistema a seconda della versione di SO.

Se sul computer infetto è installato il sistema operativo Microsoft Windows 8 o superiori, il trojan continua a funzionare con i privilegi dell'utente attuali, in Windows 7 invece cerca di aumentare i suoi permessi utilizzando uno dei modi ampiamente noti. Inoltre, in Windows 7 BackDoor.Andromeda.1407 disattiva il meccanismo di controllo degli account utenti (User Accounts Control, UAC).

Il processo di installazione del trojan non finisce a questo punto: in seguito il malware disattiva la visualizzazione di file nascosti in Explorer e quindi accede ad alcune cartelle di sistema e alle cartelle dell'utente attuale per determinare quale di esse è scrivibile. Quando trova una cartella scrivibile, il malware ci copia il dropper del trojan con un nome casuale e quindi assegna a questo file gli attributi "di sistema" e "nascosto" per celarlo all'utente e ne modifica l'ora di creazione. Infine, BackDoor.Andromeda.1407 modifica i rami del registro di sistema di Windows per assicurare l'esecuzione automatica del modulo principale del programma malevolo.

Il backdoor comunica con il suo server di gestione tramite una chiave crittografata, gli indirizzi dei nodi di comando anche sono conservati nel corpo del trojan in una forma crittografata. Per scoprire l'indirizzo IP del computer compromesso, BackDoor.Andromeda.1407 si connette ai server microsoft.com, update.microsoft.com, bing.com, google.com e yahoo.com, le informazioni vengono trasmesse tramite il formato di scambio dati JSON (JavaScript Object Notation) in una forma crittografata. Proprio in questo modo il backdoor può ricevere dai malintenzionati diversi comandi di gestione, tra cui i seguenti — scaricare plugin addizionali, scaricare e lanciare file eseguibili, aggiornare il trojan, rimuovere tutti i plugin dal sistema infetto o disinstallare il programma malevolo stesso.

Attualmente gli analisti dei virus Doctor Web sanno che BackDoor.Andromeda.1407 scarica e lancia sui computer infetti i seguenti software dannosi: il cryptolocker Trojan.Encoder.3905, il banker Trojan.PWS.Panda.2401, i malware Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 e molti altri. BackDoor.Andromeda.1407 viene rilevato e rimosso con successo dal software antivirus Dr.Web.