Jak informuje CERT Polska (Computer Emergency Response Team - polski zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci) malware VBKlip podmieniający konta bankowe ewoluował na wyższy "level".

Jak działał stary VBKlip informowaliśmy tutaj.

Nowy malware

Nowa wersja wirusa została napisana w języku .NET i zawiera kilka usprawnień:

1. W chwili odnalezienia malware przez zespół CERT nie była wykrywana przez *żaden program antywirusowy obecny na **VirusTotal.

* o niewykrywalnych wirusach (FUD - Fully Undetectable) pisaliśmy [ tutaj ]

** jak działa od środka VirusTotal pisaliśmy [ tutaj ]

2. Nowy VBKlip rozprzestrzenia się udając aplikację “Adobe Flash Player” z jego ikonką.

Brak śladów aktywności malware

Malware jest bardzo prosty. Najpierw tworzona jest formatka (Form), która ma jeden z wymiarów ustawiony na zero, przez co się nie wyświetla. Ustawienie również właściwości ShowInTaskbar nafalse powoduje, że aplikacja nie jest w ogóle widoczna na pasku zadań.

Następnie malware korzysta z klasy Microsoft.VisualBasic.MyServices.ClipboardProxy, która pozwala manipulować zawartością schowka. Co sekundę (za pomocą klasy Timer) przyrównuje on zawartość schowka do dwóch wyrażeń regularnych pochodzących z języka Visual Basic:########################## lub ## #### #### #### #### #### ####. Jeśli zawartość schowka pasuje do jednego z nich, jest ona podmieniana na zapisany w aplikacji numer konta.

Najbardziej zaskakującą cechą tego malware’u jest fakt, że nie robi on nic więcej. Nie zapisuje żadnych wartości do rejestru przez co wystarczy restart komputera, aby pozbyć się wspomnianego zachowania. Wciąż jednak trzeba pamiętać o usunięciu pliku malware’u. Nie wykonuje również żadnej komunikacji sieciowej – widocznie autor uznał, że nie jest mu potrzebna. Powoduje to, że nie można stworzyć sygnatury sieciowej, nie można monitorować żadnych domen czy adresów IP – one po prostu nie istnieją.

Zaletą takiego podejścia jest ekstremalnie niska wykrywalność przez programy antywirusowe. Wszystkie trzy próbki, do których udało się dotrzeć CERT Polska w momencie ich otrzymania nie były wykrywane przez żaden program antywirusowy z ponad 45 dostępnych poprzez VirusTotal. Poniżej znajdują się linki do raportów tego serwisu dotyczących zaobserwowanych próbek:

Na dzień 25 stycznia 2014

1. analiza 1 [ 0/48 ] sha256: 0c10aeb3fdf4fb0d36250d12578227599f8f2509861b6e09e27413aeb044dfa0

2. analiza 2 [ 0/48 ] sha256: 744bae3c6f64cc4c9fb8095d57b54c7d0c827b6f5dc113aa289067f687182fc7

3. analiza 3 [ 0/ 48 ] sha256: db375c17975d21c6749c0168cd10f9dc9d26e33b9569e1a817da88d776642653

Wnioski

VBKlip jest nowatorskim rodzajem malware’u, które dzięki prostocie swojej konstrukcji, oraz wcześniej nieznanym zachowaniu jest poważnym zagrożeniem. Nie może ono zostać tak łatwo wykryte za pomocą systemów sieciowych IDS/IPS, ponieważ nie tworzy żadnego ruchu z C&C. Zagrożenie to jest skierowane w Polaków – wciąż występują w nim tylko polskie numery kont i nie otrzymaliśmy żadnej próbki, która podmieniałaby zagraniczne numery rachunków bankowych. Dodatkowym czynnikiem utrudniającym walkę z VBKlip jest nieskuteczność programów antywirusowych w jego przypadku.

Z drugiej strony, aby pozbyć się niechcianego działania wystarczy zrestartować komputer.

źródło: CERT Polska

AUTOR:

Adrian Ścibor

Podziel się