Novi Trojan virus koji se širi putem USB-a u stanju izbjeći detekciju
Na USB uređajima je nedavno otkriven jedinstveni Trojan virus koji krade podatke i razlikuje se od tipičnih malicioznih kodova s istom namjenom. Svi tipovi ovog virusa se oslanjaju na USB uređaj na kojem se nalaze i ne ostavljaju tragove na kompromitiranom računalu. Štoviše, virus koristi poseban
mehanizam kako bi se zaštitio od kopiranja, što ga čini još težim za otkrivanje. Dok drugi maliciozni kodovi za pokretanje koriste dobre stare načine kao što su Autorun datoteke, ovaj novi USB maliciozni kod koristi još jedan način. Ova metoda se oslanja na sve češću praksu spremanja prijenosnih verzija popularnih aplikacija kao što su Firefox, NotePad++ ili TrueCrypt na USB nosačima. Maliciozni kod koristi ovu praksu tako što se ubacuje u lanac izvršnih programa tih aplikacija u obliku plugin-a ili DLL-a. Sukladno tome, pri svakom pokretanju neke od navedenih aplikacija, u pozadini se pokreće i maliciozni kod. Međutim, ono što čini ovaj maliciozni kod posebnim je njegov mehanizam zaštite.
Virus se sastoji od šest datoteka. Četiri datoteke su izvršne, dok preostale dvije sadrže podatke za konfiguraciju. Kako bi se zaštitio od kopiranja ili obratnog inženjeringa, virus koristi dvije tehnike: prvo, neke od datoteka su zaštićene AES128 enkripcijom; drugo, njihovi nazivi se stvaraju od kriptiranih
elemenata. Pošto je ključ enkripcije sastavljen u ovisnosti od ID broja USB uređaja, virus je moguće pokrenuti samo s tog uređaja. Ova povezanost s USB uređajem, kao i sofisticirana višeslojna enkripcija koja je također povezana s pojedinim USB uređajem, čini ovaj virus vrlo otpornim na detekciju i analizu (pošto ga je nemoguće odvojiti od USB uređaja, nije moguće poslati njegov „uzorak“ na analizu putem interneta). Drugim riječima, ovaj virus može obaviti krađu podataka s računala putem USB-a bez da bude primijećen.
ESET-ov analitičar Tomaš Gardon kaže kako je ovaj virus očigledno napravljen radi provođenja ciljanih napada te kako je unatoč teškoj detekciji rizik od sličnih virusa moguće smanjiti isključivanjem USB portova koji nisu nužni te edukacijom zaposlenika kako bi bili u stanju prepoznati rizične USB uređaje.
Članak preuzet s portala www.welivesecurity.com
Autor: Tomaš Gardon, analitičar ESET-a
No Comments