Trojan.Spachanel - троян, использующий SPF


Trojan.Spachanel - троянская программа, выводящая пользователей на потенциально опасный контент и демонстрирующая им рекламные сообщения в виде всплывающих в браузере окон. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Программа использует Sender Policy Framework (SPF) для обеспечения устойчивой связи между зараженными компьютерами и серверами злоумышленников и обходит типовые средства защиты.

Данная троянская программа использует для обхода шлюза, локального брандмауэра или системы предотвращений вторжений (Intrusion Prevention System, IPS), технологию SPF (Sender Policy Framework – среда политик отправителя), изначально созданную для подтверждения легитимности почтовых серверов с целью фильтрации спам-рассылок.

Принцип SPF – это отправка запроса к DNS-серверу и анализ его ответа. Если DNS-сервер отправителя настроен на использование SPF, DNS-ответ содержит SPF в виде текстовой (.txt) строки.

Принцип работы SPF (Sender Policy Framework)

Princip raboti SPF 1

Примеры SPF легитимных сайтов

Primeri SPF legitimnih saitov

При использовании SPF домен или IP-адрес может быть получен через DNS-запрос, при этом сам запрос не обязательно должен исходить непосредственно от заражённого компьютера. Обычно в сети присутствует локальный кэширующий DNS-сервер, отправляющий запросы, полученные с локальных компьютеров, от своего имени.


Обнаружение троянской программы, использующей SPF
Trojan.Spachanel - троян, использующий SPF. Вирус взламывает веб-браузер и встраивает вредоносный контент в каждую HTML-страницу.

Сценарий атаки вируса Trojan.Spachanel

Scenarii ataki Trojan.Spachanel

Hod ataki Spachanel

Для передачи вредоносных доменов и IP-адресов автор вируса решил использовать SPF, чтобы спрятать взаимодействие с ними в легитимных DNS-запросах. Если вредоносная программа пытается соединиться с сервером злоумышленника через порт с большим номером по стандартному протоколу, то она может быть заблокирована шлюзом, брандмауэром или системой предотвращения вторжений. В некоторых случаях определённые домены блокируются локальным DNS­сервером. Однако этот вирус создает запрос к домену, который чаще всего проходит через большинство фильтров. DNS-запросы, как правило, отправляются не напрямую. Обычно в сети присутствует кэширующий DNS-сервер, что сильно снижает вероятность блокировки данного запроса брандмауэром. Таким образом, злоумышленник получает возможность поддерживать стабильную связь между вредоносной программой и управляющим сервером.

Встроенный JavaScript-тэг загружает вредоносный контент, создающий всплывающее окно в нижнем левом углу окна браузера. При этом сами открываемые сайты не заражены и вообще никак не связаны с содержимым всплывающего окна. Поскольку Java-скрипт встраивается в браузер, а не в сам веб-сервер, всплывающие окна не будут отображаться на незараженных компьютерах.

Отображение сайтом вредоносного контента

Otobrajenie saitom vredonos kontenta

Пока экспертам встречаются следующие четыре типа всплывающих окон.

Если кликать на кнопки окон

  • "PC Speed Test" и "PC Performer Test"

то пользователь перенаправляется на сайт, предлагающий для загрузки потенциально опасное содержимое. Всплывающее окно

  • "how fast can you build your muscle mass?"

(как быстро вы можете набрать мышечную массу?) похоже на рекламный баннер, а нажатие на ссылку на момент написания данного материала ни к чему не приводило. Всплывающее окно с

  • captcha-изображением

наблюдалось лишь в одной атаке, и пока не определено, какая атака за ним стоит.
Очевидно, что целью этих атак является зарабатывание денег за счёт предложения загрузки потенциально опасного контента и путем набора кликов по рекламным ссылкам.