Video Screencast Help
Security Response

Trojan.Milicenso: o sonho da papelaria que se tornou realidade

Created: 22 Jun 2012 22:51:26 GMT • Translations available: English, 日本語
Symantec Security Response's picture
0 0 Votes
Login to vote

Dependendo da configuração, qualquer arquivo (incluindo arquivos binários) criado pela ameaça disparará trabalhos de impressão.

No decorrer das últimas duas semanas, um surto do Trojan.Milicenso resultou em vários relatos de longos trabalhos sendo enviados para servidores de impressão, onde foram impressos automaticamente caracteres inúteis até que as impressoras ficassem sem papel. Nossos dados de telemetria mostraram que as regiões mais atingidas foram os EUA e a Índia, seguidos de regiões na Europa e América do Sul, incluindo o Brasil. Originalmente, encontramos o Trojan.Milicenso em 2010, e nossa investigação inicial tinha apontado que esse era basicamente um vetor de malware. O agente infectante mais comumente associado a essa versão mais recente é o Adware.Eorezo, um adware voltado aos usuários do idioma francês.

 
 
 

Figura 1. Dados de telemetria mostrando as áreas afetadas

O Trojan.Milicenso pode entrar em um computador comprometido de várias maneiras, como por meio de anexos de e-mail maliciosos ou a partir do acesso a sites que hospedam scripts maliciosos. Este último frequentemente ocorre de forma não intencional, quando o usuário clica em um link de um e-mail não solicitado. Também encontramos um grande número de amostras que parecem estar empacotados como um codec falso.

O Cavalo de Tróia cria e executa um executável instalador, que por sua vez cria um arquivo DLL na pasta %System%. Em seguida, o executável se exclui automaticamente. Veja a seguir uma lista dos nomes de arquivo criados:

  • %System%\[RANDOM FILE NAME].exe
  • %ProgramFiles%\[EXISTING FOLDER NAME]\[RANDOM FILE NAME].exe
  • %Temp%\[RANDOM FILE NAME].exe
  • %System%\[RANDOM FILE NAME].dll
  • %ProgramFiles%\[EXISTING FOLDER NAME]\[RANDOM FILE NAME].dll
  • %Temp%\[RANDOM FILE NAME].dll

O corpo principal da DLL instalada é fortemente criptografado e, para tornar a análise mais difícil, a própria chave de descriptografia é criptografada usando um valor que é exclusivo para o computador comprometido. Nesse caso, o valor exclusivo tem 16 bytes de comprimento e é gerado usando a hora em que as pastas System e System Volume Information foram criadas. Esse valor exclusivo é usado para criptografar a chave de descriptografia da DLL principal, que é inserida no arquivo DLL. A chave é usada para executar uma caixa de permuta no executável criptografado.

Além do uso de criptografia RC4, outro aspecto digno de nota é o fato de haver diversas rotinas que são especificamente dedicadas a identificar se o ambiente de execução é relacionado a uma máquina virtual, área restrita de malware público conhecido ou site de análise de ocorrências como o ThreatExpert.

 
 
 
 
 

Figura 2. Verificações de ambiente virtual e área restrita

A ameaça também verifica a presença de determinados drivers de sistema que são conhecidos por serem associados a instalações de máquinas virtuais.

Figura 3. Verifica a existência de drivers de máquina virtual

O que é realmente interessante aqui é que a maioria das rotinas de verificação/detecção de área restrita são usadas como mecanismos de proteção para permitir que uma ameaça se esconda ou impeça a análise. Entretanto, nesse caso, apesar de detectar a presença de uma área restrita, a ameaça, em vez de cessar toda a atividade, realiza determinadas atividades específicas, como contatar sites. Essas ações são associadas ao Adware.Eorezo, e parece que ele está usando o adware como um chamariz para distrair a atenção de si mesmo, tentando assim evitar a análise de malware, pois isso o categorizaria como sendo de baixo risco, uma vez que ele seria ignorado.

Na execução, a ameaça recupera a hora de criação das pastas System e System Volume Information para gerar o valor exclusivo, que é a mesma operação realizada quando o Cavalo de Tróia foi instalado. Então, ela usa o valor exclusivo para descriptografar a chave de criptografia principal, que é subsequentemente usada para descriptografar e executar o corpo do Cavalo de Tróia.

 

Figure 4. Exemplo dos valores exclusivos usados pela ameaça

O Cavalo de Tróia criptografa as informações reunidas e as envia para um agressor remoto, codificadas no nome de arquivo de uma solicitação HTTP GET. O arquivo solicitado retornado pelo servidor é um código malicioso criptografado.

Figura 5. Código malicioso criptografado enviado pelo servidor

O Cavalo de Tróia pode criar as seguintes entradas do Registro, para que ele seja executado toda vez que o Windows iniciar:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"[RANDOM VALUE]" = "[PATH TO TROJAN EXECUTABLE]"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[RANDOM VALUE]" = "[PATH TO TROJAN EXECUTABLE]"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"[RANDOM VALUE]" = "[PATH TO TROJAN EXECUTABLE]"

O Cavalo de Tróia armazena informações nas seguintes subchaves do Registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\[RANDOM VALUE]
  • HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia
  • HKEY_CURRENT_USER\ Software \Microsoft\Multimedia
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

Um dos arquivos instalados é um arquivo executável identificado como Aware.Eorezo e é idêntico a um dos arquivos baixados dos seguintes locais:

  • [http:]//storage1.static.it[REMOVED]
  • [http:]//storage5.static.it[REMOVED]

 

O arquivo é assinado digitalmente usando um certificado pertencente a uma organização chamada Agence Exclusive. O certificado expirou em janeiro de 2012 e, por conta disso, a verificação da assinatura digital falha. No momento, não conseguimos encontrar nenhuma prova da existência da organização Agence Exclusive, indicando que ela não existe mais ou nunca existiu.

O arquivo executável instalado tem um único propósito: descriptografar uma URL e executar o comando ShellExecute para fazer o processo do Explorer ser iniciado e abrir a URL descriptografada.

Ele acessa a seguinte URL: ads.alpha[REMOVED]

Esse domínio redireciona o tráfego para outra URL relacionada ao anúncio que, por sua vez, redireciona para outra URL de anúncio. Por fim, um site aleatório é aberto no navegador. Em nossa investigação, observamos vários sites franceses sendo exibidos no fim da cadeia de redirecionamento.

Depois de tudo isso, você deve estar se perguntando por que essa ameaça é o sonho realizado da papelaria, e aqui está o porquê. Durante a fase de infecção, um arquivo .spl é criado em [LETRA_UNIDADE]\system32\Spool\PRINTER\[ALEATÓRIO].spl. Observe que o diretório do spooler de impressão padrão do Windows é %System%\spool\printers.

O arquivo .spl, embora pareça ser um arquivo de spool de impressora comum, na verdade é um arquivo executável e é detectado como Adware.Eorezo. Dependendo da configuração, qualquer arquivo (incluindo arquivos binários) criado nessa pasta disparará trabalhos de impressão. Isso explica os relatos de impressões indesejadas observados em alguns ambientes comprometidos. Com base no que descobrimos até agora, as impressões inúteis parecem ser um efeito colateral do vetor da infecção, em vez de serem um objetivo intencional do autor.

Continuaremos a analisar novas amostras relacionadas a essa ameaça e atualizaremos nossa cobertura de proteção conforme a necessidade. Enquanto divulgamos este relatório, acabamos de saber que SANS publicou mais informações sobre uma nova variante do Trojan.Milcenso. Essa variante foi modificada com um reforço no executável, com o objetivo de ajudar a evitar a detecção. Isso serve para mostrar que os criadores do malware ainda estão trabalhando para tentar espalhar suas criaturas. Você pode ter a certeza de que estamos igualmente determinados a impedi-los.

Como sempre, lembre-se de seguir as práticas recomendadas de segurança e mantenha seu produto para proteção atualizado com as definições mais recentes.

 

Proteção

A Symantec atualmente dispõe das seguintes assinaturas antivírus para detectar os arquivos associados a essa ameaça: