Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 23. juni 2008

XP SecurityCenter - falskt antispyware-produkt

Vi ser at Danmec/Asprox-nettet nå, i tillegg til utsending av spam, blir benyttet til å spre et falskt sikkerhetsprodukt som går under navnet XP SecurityCenter. Slike produkter viser falske skanneresultater for å indikere at systemet er infisert. Brukeren blir deretter forsøkt lurt til å kjøpe "fullversjonen" av produktet for at truslene på systemet skal fjernes.



Distribuering
I praksis blir "installeren" til XP SecurityCenter distribuert gjennom Danmecs C&C-infrastruktur. Siste versjon av Danmec ser for øyeblikket ut til å være 435 og forsøker å kontakte C&C på en av følgende IP-adresser på port 80/tcp:

64.191.14.85
66.197.168.5
66.197.233.133
66.199.241.98
66.232.102.169
74.50.106.162
208.109.122.207
203.117.170.42
216.150.79.226

Mer info om Danmec/Asprox kan du finne i en våre tidligere poster.

Den eksekverbare filen som blir pushet fra Danmecs C&C blir detektert av 4/33 AV-produkter på VirusTotal. Nærmere kikk på denne filen viser at dette er Braviax/Virantix - en malware som er kjent for å distribuere nettopp denne typen falske sikkerhetsprodukter.

Hva gjør den?
Når Braviax/Virantix kjøres droppes det blant annet to filer, figaro.sys og braviax.exe.

figaro.sys er et kernel-mode rootkit som blir forsøkt installert ved å overskrive beep.sys. For å overskrive beep.sys, som i utgangspunktet er beskyttet av Windows File Protection (WFP), benytter den et udokumentert systemkall i sfc_os.dll (ordinal 5) for å "frigi" den beskyttede filen i ett minutt. Denne metoden for å omgå WFP er beskrevet nærmere her



Rootkit'et sørger blant annet for å terminere en rekke prosesser, deriblant flere AV-produkter, brannmurer, anti-spyware-produkter, samt konkurrende spyware-produkter. Dette gjør den ved å benytte PsSetLoadImageNotifyRoutine, som registrerer et "callback" til en vilkårlig funksjon som vil bli kalt når en eksekverbar fil lastes inn.



braviax.exe sørger derimot for å laste ned og installere XP SecurityCenter, samt disable Windows Firewall. XP SecurityCenter blir hentet fra www.softcashier.com:


www.softcashier.com. 60 IN A 216.195.56.82



Anbefalinger
Det anbefales å blokkere og logge aktivitet mot Danmecs C&C-servere, da aktivitet mot disse er en sterk indikasjon på infiserte systemer. I tillegg kan det også være ønskelig å blokkere tilgang til www.softcashier.com.

Ingen kommentarer:

 
>