Корпорація Symantec повідомляє про виявлення троянської програми, яка виводить користувачів на потенційно небезпечний контент і демонструє їм рекламні повідомлення у вигляді спливаючих в браузері вікон. При цьому самі відкриваються сайти не заражені і взагалі ніяк не пов'язані з вмістом спливаючого вікна.
Програма використовує Sender Policy Framework (SPF) для забезпечення стійкого зв'язку між зараженими комп'ютерами і серверами зловмисників і обходить типові засоби захисту.
Для вірусописьменників дуже важливо мати надійний зв'язок між їх шкідливою програмою, діючої на заражених комп'ютерів, і власним сервером, так, щоб шкідлива програма могла отримувати команди та оновлення в будь-який час. Однак на шляху взаємодії між шкідливою програмою і сервером управління може стояти шлюз або локальний брандмауер, або їх поєднання може блокуватися системою запобігання вторгнень (intrusion prevention system, IPS). Тому автори шкідливих програм намагаються обійти подібні засоби захисту. Недавно експерти Symantec виявили троянську програму, яка використовує для цих цілей технологію SPF (Sender Policy Framework - середа політик відправника), спочатку створену для підтвердження легітимності поштових серверів з метою фільтрації спаму-розсилок.
Принцип SPF - це надсилання запиту до DNS-серверу і аналіз його відповіді. Якщо DNS сервер відправника налаштований на використання SPF, DNS-відповідь містить SPF у вигляді текстового (.txt) рядка.
Як працює SPF нижче Таблиця містить ряд прикладів SPF легітимних сайтів.
Приклади SPF легітимних сайтів Ідея автора шкідливої програми полягає в тому, що при використанні SPF домен або IP-адреса може бути отриманий через DNS-запит, при цьому сам запит не обов'язково повинен виходити безпосередньо від зараженого комп'ютера. Зазвичай в мережі присутній локальний кешуючий DNS сервер, який відправляє запити, отримані з локальних комп'ютерів, від свого імені.
Виявлення троянської програми, що використовує SPF
Нещодавно фахівцями Symantec був виявлений троянець (ідентифікований продуктами Symantec як Trojan.Spachanel), який використовує SPF. Вірус зламує веб-браузер і вбудовує шкідливий контент в кожну HTML-сторінку. Схема, за якою здійснюється така атака, представлена нижче.
Сценарій атаки вірусу Trojan.Spachanel Для передачі шкідливих доменов і IP-адреси автор вірусу вирішив використовувати SPF, швидше за все для того, щоб сховати взаємодію з ними в легітимних DNS-запитах. Якщо шкідлива програма намагається з'єднатися з сервером зловмисника через порт с бпрольшім номером за стандартним протоколом, то вона може бути заблокована шлюзом, брандмауером або системою запобігання вторгнень. У деяких випадках певні домени блокуються локальним DNS-сервером, однак цей вірус створює запит до домену, який найчастіше проходить через більшість фільтрів. Більш того, DNS-запити, як правило, відправляються не прямо - зазвичай в мережі присутній кешуючий DNS сервер, що сильно знижує ймовірність блокування даного запиту брандмауером. Таким чином, зловмисник отримує можливість підтримувати стабільний зв'язок між шкідливою програмою і керуючим сервером.
Що відбувається після інфікування
Вбудований JavaScript-тег завантажує шкідливий контент, який створює спливаюче вікно, в нижньому лівому кутку вікна браузера. При цьому самі відкриваються сайти не заражені і взагалі ніяк не пов'язані з вмістом спливаючого вікна (на мал. 3 це показано на прикладі головної сторінки сайту Symantec). Таким чином, оскільки Java-скрипт вбудовується в браузер, а не сам веб сервер, спливаючі вікна не будуть відображатися на незаражених комп'ютерах.
Здається, що сайт відображає шкідливий контент Поки експертам зустрічаються наступні чотири типи спливаючих вікон.
Чотири типи спливаючих вікон, ініційованих шкідливою програмою Згідно тестам Symantec, якщо клікати на кнопки вікон «PC Speed Test» і «PC Performer Test», користувач перенаправляється на сайт, що пропонує для завантаження потенційно небезпечний вміст. Спливаюче вікно «how fast you can build your muscle mass?» (як швидко ви можете набрати м'язову масу?) схоже на рекламний банер, а натискання на посилання на момент написання цього матеріалу ні до чого не приводило. Спливаюче вікно з captcha-зображенням спостерігалося лише в одній атаці, і поки не визначено, яка атака за ним стоїть.
Метою цих атак є заробляння грошей за рахунок пропозиції завантаження потенційно небезпечного контенту і шляхом набору кліків по рекламних посиланнях.
