Trojan.FBClicker.A – inamicul socializării on-line

Prima întâlnire

Dacă vă întrebaţi unde anume vă puteţi întâlni cu Trojan.FBClicker.A, vă pot spune că este prin reţelele de socializare. În schimbul unui clic pe butonul „Like”, acesta vă va duce pe o sumedenie de site-uri doldora de malware.

Puţină scenografie

Odată ajuns în sistem, FBClicker ascultă de regula de aur a siguranţei care trebuie să fie pe primul plan. Astfel, verifică să nu fie rulat în vreo maşină virtuală (precum VMWare) sau dacă nu cumva rulează vreun proces precum Wireshark.exe sau tcpview.exe. Ideea e să se ascundă cât poate de bine, deoarece aplicaţia de tip clicker şi downloader-ul care îl însoţesc trimit, la rândul lor, către centrul de comandă şi control datele atât de preţioase pe care le subtilizează de pe sistemul compromis.

Mai mult, FBClicker are grijă să dezinstaleze soluţiile antivirus – precum MSASCui (Microsoft® Windows® Defender) şi msmpeng (Microsoft Windows Defender antispyware) – în cazul în care le găseşte instalate, tocmai pentru a se asigura că nimic nu îi mai stă în cale.

FBClicker la lucru

Troianul mai verifică dacă pe sistem sunt prezente fişierele ranga, xanga, panga – versiuni mai vechi ale aceluiaşi malware. Dacă le găseşte, le şterge, eliminând şi intrările aferente din regiştri.

Pentru a avea acces nestânjenit la Internet, FBClicker adaugă mai multe excepţii în Firewall-ul Windows, realizând astfel o breşă pe care o poate exploata de fiecare dată când primeşte comenzi de la centrul de comandă şi control.

Ascultând ordinele de sus

FBClicker poate modifica pagina iniţială a browser-ului, redirecţionând-ul către anumite site-uri Web – o practică standard în universul aplicaţiilor de tip adware. Astfel, atacatorul mai poate obţine câţiva bani în plus şi de pe urma reclamelor sau a campaniilor care generează profit din trafic/clickuri. Atacatorul poate în plus să stabilească intervalul precis între deschiderea a două sau mai multe pagini şi redirecţionările aferente.

În plus, FBClicker mai răspunde la comenzi de genul:

* REMOVE – prin care aplicaţia de tip clicker este instruită să-şi ia tălpăşiţa pentru a-l proteja pe atacator;

* DOWNLOAD – foarte utilă când troianul are de gând să mai invite în sistem şi alte aplicaţii la fel de neprietenoase;

* UPDATE – utilizată doar atunci când atacatorul sau atacatorii lansează o nouă versiune sau o variantă cu funcţionalităţi sporite şi capacitate de camuflaj îmbunătăţită;

* Ultima, dar nu cea de pe urmă, comanda MSN care se declanşează automat la fiecare 23 de minute pentru a răspândi diverse mesaje şi hyperlink-uri către toate contactele din MSN messenger, dacă acesta este instalat, desigur.

Pentru a reduce riscurile de a fi detectat, FBClicker nu se pune pe treabă imediat ce ajunge pe sistemul compromis, ci aşteaptă cel puţin o oră până să treacă la fapte. Iar pentru ca povestea să sune şi mai bine, pe lângă componentele clicker şi downloader, troianul de faţă vine şi cu una de tip vierme. Ea este responsabilă pentru crearea şi răspândirea automată de fişiere autorun.inf infectate pe care le copiază pe orice dispozitiv de stocare extern conectat pe portul USB.

Detaliile tehnice din acest articol au fost obţinute prin amabilitatea Doinei Cosovan şi a lui Răzvan Benchea, cercetători antimalware BitDefender. Articolul a fost scris de Loredana Botezatu și tradus de Răzvan Livintz.

Notă: Toate numele de produse şi companii menţionate în acest articol sunt folosite doar pentru identificare, acestea fiind proprietatea sau marca înregistrată a proprietarilor lor.