Niedawno informowaliśmy o nowym zagrożeniu dla polskich użytkowników bankowości elektronicznej, którego działanie polegało na podmianie numeru konta bankowego znajdującego się w schowku systemowym. Serwis CERT Polska informuje o zmianach w kodzie tego malware’u, utrudniających jego wykrycie przez oprogramowanie antywirusowe.
Program w nowej odsłonie napisany jest w języku .NET i zawiera kilka ciekawych usprawnień, które powodują, że żadna z próbek w chwili ich odkrycia przez CERT Polska nie była wykrywana przez produkty antywirusowe obecne na VirusTotal. Nowy VBKlip rozprzestrzenia się udając aplikację “Adobe Flash Player” i opatrzony jest ikoną zawierającą logo popularnego odtwarzacza.
Ślady w komunikacji sieciowej albo w rejestrze? Można pomarzyć!
Malware jest bardzo prosty. Najpierw tworzona jest formatka (Form), która ma jeden z wymiarów ustawiony na zero, przez co się nie wyświetla. Ustawienie również właściwości ShowInTaskbar na false powoduje, że aplikacja nie jest w ogóle widoczna na pasku zadań.
Następnie malware korzysta z klasy Microsoft.VisualBasic.MyServices.ClipboardProxy, która pozwala manipulować zawartością schowka. Co sekundę (za pomocą klasy Timer) przyrównuje on zawartość schowka do dwóch wyrażeń regularnych pochodzących z języka Visual Basic: ########################## lub ## #### #### #### #### #### ####. Jeśli zawartość schowka pasuje do jednego z nich, jest ona podmieniana na zapisany w aplikacji numer konta.
Najbardziej zaskakującą cechą tego malware’u jest fakt, że nie robi on nic więcej. Nie zapisuje żadnych wartości do rejestru przez co wystarczy restart komputera, aby pozbyć się wspomnianego zachowania. Wciąż jednak trzeba pamiętać o usunięciu pliku malware’u. Nie wykonuje również żadnej komunikacji sieciowej – widocznie autor uznał, że nie jest mu potrzebna. Powoduje to, że nie można stworzyć sygnatury sieciowej, nie można monitorować żadnych domen czy adresów IP – one po prostu nie istnieją.
Zaletą takiego podejścia jest ekstremalnie niska wykrywalność przez programy antywirusowe. Wszystkie trzy próbki, do których udało się dotrzeć CERT Polska w momencie ich otrzymania nie były wykrywane przez żaden program antywirusowy z ponad 45 dostępnych poprzez VirusTotal. Poniżej znajdują się linki do raportów tego serwisu dotyczących zaobserwowanych próbek:
https://www.virustotal.com/pl/file/744bae3c6f64cc4c9fb8095d57b54c7d0c827b6f5dc113aa289067f687182fc7/analysis/1389270408
https://www.virustotal.com/pl/file/0c10aeb3fdf4fb0d36250d12578227599f8f2509861b6e09e27413aeb044dfa0/analysis/1389337563
https://www.virustotal.com/pl/file/db375c17975d21c6749c0168cd10f9dc9d26e33b9569e1a817da88d776642653/analysis/1389270408
Podsumowanie
VBKlip jest nowatorskim rodzajem malware’u, który dzięki prostocie swojej konstrukcji, oraz wcześniej nieznanemu zachowaniu stanowi poważne zagrożenie. Nie może on zostać łatwo wykryty za pomocą systemów sieciowych IDS/IPS, ponieważ nie tworzy żadnego ruchu z C&C. Zagrożenie to jest skierowane w Polaków – wciąż występują w nim tylko polskie numery kont i nie otrzymaliśmy żadnej próbki, która podmieniałaby zagraniczne numery rachunków bankowych. Dodatkowym czynnikiem utrudniającym walkę z VBKlip jest nieskuteczność programów antywirusowych w jego przypadku.
Z drugiej strony, aby pozbyć się niechcianego działania wystarczy zrestartować komputer.
Źródło: CERT Polska