Мир: Эксперты обнаружили новую разновидность вредоносного ПО Alina

1

Исследователь безопасности Эрик Меррит (Eric Merritt) из компании Trustwave сообщает о вредоносном ПО Dubbed Spark, разновидности вредоноса Alina. Dubbed Spark отличается от основной версии прежде всего тем, что создан на языке программирования AutoIt.


Обычно скомпилированные сценарии весьма примитивны. Но в данном случае мы наблюдаем достаточно изощренную технику эксплуатации. Из-за простоты использования AutoIT злоумышленники могут без труда изменить сигнатуры вредоносного файла и обойти обнаружение антивирусным ПО.

Согласно анализу, проведенному сотрудниками Trustwave, сценарий на AutoIt содержит функции для выделения пространства в памяти и использования его для размещения бинарного кода. Затем сценарий вносит изменения в таблицу адресов импорта и выполняет вредоносный код.

Вредоносный бинарник встраивается в переменную размером 4000 байт, а функции сценария обеспечивают его загрузку и выполнение. Сценарий преобразуется в исполняемый файл Windows при помощи утилиты Aut2Exe. Исполняемый файл, в свою очередь, создает новый бинарник с вредоносным кодом.

Пресс-секретарь Trustwave Эбби Росс (Abby Ross) сообщает о том, что вредонос был обнаружен в ходе изучения множественных инцидентов безопасности, имевших место в платежных системах станций автосервиса. По данным компании, вредоносом инфицированы множественные PoS-терминалы на территории США.

Вредоносное ПО Alina было обнаружено в конце 2012 года. Trustwave ассоциирует Spark с Alina по ряду причин. Прежде всего, вирус Alina ведет реестр процессов, которые не предназначены для карточных данных. Вредонос Spark ведет аналогичный реестр с добавлением некоторых приложений. Вредоносное ПО и его основная версия обладают одинаковым алгоритмом поиска платежных данных, а для маскировки перехвата карточных данных используют схожие схемы шифрования.

Как и все другие версии Alina, Spark добавляет себя в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\hkcmd, что обеспечивает запуск после перезагрузки системы, сообщают эксперты. Кроме того, вредоносное ПО Spark имеет общие сходства с вредоносом JackPOS, которое заключается в использовании сценария AutoIt в качестве загрузчика. (Новости/NovostIT)