Nowy robak - EliU

Kilka dni temu w sieci pojawił się nowy robak. Rozsyła do ludzi różnymi drogami (szczególnie drogą poczty elektronicznej, poprzez gadu-gadu) link do pewnej strony wraz z notatką mówiącą, że link można otworzyć tylko poprzez IE (lub z innymi notatkami!). Gdy nieświadomy użytkownik komputera otwiera link, jego komputer przestaje należeć do niego. Wczoraj w nocy Michał Bućko kierował kilkunastoosobowym zespołem badającym nowego robaka.
„[..]Od odpowiednich służb otrzymałem telefon z prośbą o przeanalizowanie tego zjawiska[..] Okazało się, że zagrożenie jest bardzo duże, a robak bynajmniej nie jest nastawiony pokojowo.[..] W przeciągu kilku godzin okazało się, że jest jego kilka mutacji.[..] Autorów jeszcze nie znam[..]”, mówi Michał.

Michał nazwał robaka „Eliu”. Robak Eliu w podstawowej wersji wykorzystuje lukę MS06-014 w Internet Explorer, jego kod jest zbudowany tak, aby nie został wykryty przez AV.
Znane jest nam kilka (być może jest więcej) różnych mutacji tego samego kodu lub kodu o podobnych właściwościach.

„[..]Bardziej zaawansowane wersje wciąż są analizowane w laboratoriach.[..] W najbliższym czasie będziemy pracowali nad analizą zastosowanego rootkita, miejmy nadzieję, że najbardziej rozpowszechnioną wersją robaka jest ta najprostsza mutacja”, mówi Michał.

Metodologia pisania robaków na zasadzie budowania niezrozumiałego kodu znacznie utrudnia życie fachowcom, którzy walczą z robakiem. Muszą poświęcić na analizę złośliwego oprogramowania więcej czasu, w tym czasie robak przejmuje kontrolę nad kolejnymi maszynami.

W najprostszej wersji robak instaluje się na komputerze ofiary i wykorzystuje ją do przesyłania spamu. W najbardziej wyrafinowanej wersji, robak instaluje rootkit (połączenie technologii KLOG z Migot) na komputerze ofiary, co jakiś czas próbuje przekierowywać ofiarę na sphishingowane serwisy w celu (np.) wykradnięcia informacji na temat kont bankowych(rootkit wykorzystuje zarówno CR0 jak i EFlags). Zaawansowana wersja robaka instaluje keylogger na komputerze ofiary, wykorzystuje DLL spoofing, więc użytkownik nie może mieć zaufania do żadnego oprogramowania znajdującego się na komputerze. Jedna z mutacji robaka, przeglądała dysk w celu znalezienia kontaktów danej osoby – w ten sposób robak dostawał się na kolejne komputery.

„Chciałbym apelować o nieotwieranie nieznanych linków do stron internetowych. Robak przejmuje pełną kontrolę nad komputerem, z tego powodu jego mutacje mogą wykradać wszelkie poufne informacje. W przypadku podejrzenia o zarażenie, sugeruję przeinstalowanie systemu operacyjnego. W obecnej chwili mój zespół analizuje możliwość przeniesienia kodu robaka na inne niż IE przeglądarki. W tym miejscu chciałbym też podziękować przyjaciołom z milw0rm za nocne analizy.”, mówi Michał.

Realizacja: SIPLEX Studio