FireEye сообщил о новом вредоносном коде
0307 2013
23:40

Работа злонамеренного документа осуществляется в несколько пошаговых этапов. Первым этапом документ скачивается на компьютер и открывается. Далее анализатор кода определяет операционную систему ПК, не является ли она виртуализованной. Определяет запуск Word, не открыт ли он в изолированный среде, и проверяет, нет ли в наличие автоматизированной системы, отвечающей за детектирования вредоносных программ.
При выполнении условий запускается следующий этап. Вторым э этап вредоносная программа запускает систему слежения за курсором мыши и перехватывает данные о положении и кликах. После трёх первых кликов, которые Траян пропускает, идет попытка подгрузить вредоносное программное обеспечения на целевой компьютер, заранее замаскированное под JPG-файл.
Уход от антивирусных программ осуществляется несколькими методами. Например, при загрузке файла BaneChat,код сбрасывает на персональный компьютер дроппер с зашифрованным к нему путём через URL ow.ly(сервис анонимизации). URL-анонимайзер позволяет скрыть путь к дропперу, чтобы тот не попал в черный список системы фильтрации и загрузить вредоносный код в сеть. Подобно этому, с динамической системой IP-адресов, код JPG грузится с сервера. Также BaneChat поддерживает несколько команд по выполнению нестандартных действий.
Создаваемые для своих потребностей файлы GoogleUpdate.exe для заблуждения пользователя код размещает в C:\ProgramData\Google2\. Легальные файлы Google располагаются по адресу C:\Program Files\Google\Update\. Также код размещает ярлык в автозапуск для запуска при старте системы. Все собранные кодом данные передаются на удаленный сервер, который находится под контролем злоумышленника.