Pentru a oferi exemple mai elocvente astazi o sa analizam un document Word infectat cu Dridex, un malware tip Banking Botnet evoluat din faimosul Zeus si fiind o versiune avansata a controversatului Cridex. Un malware care ofera access total la pc-ul dumneavoastra atacatorului si vizeaza in special tranzactiile bancare, acesta detinand abilitatea sa prin complexitate de a performa transferuri bancare automate in momentul in care victima se conecteaza la contul bancar online, sau savarseste tranzactii online, precum cumpararea de produse online sau plata utilitatilor.

Prin complexitatea sa, acest banking botnet detine functii avansate gen formgrabber si web replacement, astfel atatata vreme cat sunteti infectati cu acest virus, contul dumneavoastra va fi afisat cu suma de bani initiala (nemodificata) chiar daca in realitate dumneavoastra nu mai aveti nici un ban in cont, virusul are abilitatea de a salva valoarea sumei de bani din cont, iar dupa ce executa transferul va modifica automat pagina bancara pentru a continua sa afiseze suma initiala in loc de cea reala.
Exemplu: Aveti 100 de euro in cont, va infectati, banii va sunt transferati de catre virus din contul dumneavoastra catre un alt cont, dar cand dumneavoastra intrati pe site-ul bancii sa verificati cati bani mai aveti in cont, acesta va afisa 100 de euro, chiar daca in realitate suma reala este de 0. Suma reala poate fi afisata doar de la un alt pc nevirusat, de la bancomat, sau din sediul bancii.

Campania Dridex a luat amploare in Romania la sfarsitul lunii Iulie 2015 virusul fiind transmis prin email targetand companiile cu email-uri sub forma “Factura xxxx” sau “Comanda xxxx” iar atasat email-ului un document tip Word gen: xxxx.doc, acest document fiind infectat ori cu un downloader (vom vorbi alta data despre acest tip de virus) sau direct infectat cu Dridex.

Acest virus a facut ravagii in toata lumea in 2014 si 2015 dar dupa cum am spus, Romania a fost mai mult afectata in perioada Iulie – August 2015 atunci cand a fost demarata o campanie mai agresiva de raspandire si infectare.

Bun, sa ajungem la subiectul initial, cum puteti verifica daca un document este sau nu virusat.

Pentru inceput puteti sa scanati documentul pe VirusTotal (https://www.virustotal.com)

Un sistem cu care puteti scana un fisier cu 56 de solutii antivirus diferite, printre acestea numarandu-se si cele consacrate precum AVG, Avast, Avira, Comodo, ESET-NOD32, Kaspersky, Malwarebytes sau Symantec.

Fisierul fiind scanat simultan de cele 56 de antivirusuri pentru o analiza mai exacta.

Ce ne spune VirusTotal despre acest fisier?

1) Nu este detectat decat de 4 antivirusi din 56.

2) Este un malware tip Trojan (e banking botnet, dar hai sa fim indulgenti cu ei)

3) Fisierul a fost cryptat (obfuscat) pentru a preveni detectia sistemelor antivirus, astfel putand sa treaca nedetectat de majoritatea sistemelor.

Daca ulterior se doreste o analiza mai amanuntita a fisierului, acesta poate fi uploadat pe Malwr (https://malwr.com/) un laborator virtual de analiza malware.

Pe malwr.com veti descoperi cu placere faptul ca fisierul este analizat in amanunt, ce face, unde se conecteaza, ce date trimite, care este scopul fisierului etc.

Ce ne spune Malwr.com despre acest fisier?

1) Stim ca acest virus fura toate parolele salvate in browserele victimei.

2) Stim ca este controlat de la un panou de control aflat la adresa 149.202.182/bt/bt/ppt.php

3) Stim ca isi initializeaza auto start-ul schimband registrii din PC astfel de fiecare data cand veti porni calculatorul virusul va porni automat.

4) Incearca sa evite detectia antivirusului prin amanarea executarii (Delay 1566882 secunde)

5) Invoca anumite procese, descarca alte executabile sau modifica diversi registri din sistem.

Daca mai aveti intrebari nu ezitati sa le scrieti in comentarii.

Simon Cirstoiu