Специалисты компании enSilo детально изучили обнаруженное недавно семейство вредоносов Furtim. Малварь действует настолько скрытно, что исследователям так и не удалось понять, как операторы Furtim распространяют своего вредоноса, или как выбирают жертв. Зато эксперты обнаружили, что Furtim уделяет очень много внимания скрытности.
Вирус-параноик FURTIM проверяет ПК на наличие 400 разных антивирусов
Исследователи , что Furtim отличается от других образчиков вредоносного ПО. Ни один из известных им вредоносов не уделял столько внимания уходу от различных систем безопасности. Еще во время установки Furtim внимательно проверяет, не запущен ли он на виртуальной машине или в песочнице, а затем педантично обыскивает компьютер жертвы на предмет присутствия более 400 различных антивирусных продуктов. Если Furtim находит хотя бы одну такую программу, установка отменяется и малварь бездействует.
Вирус-параноик FURTIM проверяет ПК на наличие 400 разных антивирусов
Если установка все же прошла успешно, Furtim избегает сервисов DNS фильтрации, сканируя сетевые интерфейсы зараженной машины и подменяя известные фильтрующие неймсерверы на публичные неймсерверы Google и Level3 Communications. Также малварь блокирует порядка 250 различных доменов связанных с информационной безопасностью.

Однако «паранойя» зловреда на этом не заканчивается. Furtim также отключает механизм уведомлений и всплывающие окна в Windows, и перехватывает контроль над командной строкой и Диспетчером задач, не давая попасть туда жертве.

Убедившись, что все под контролем, вредонос собирает данные о зараженной машине и отправляет на командный сервер. Управляющий сервер, в свою очередь, использует эту информацию для идентификации жертв, и передает Furtim финальную порцию пейлоадов, так как до этого на компьютере, по сути, работал только загрузчик малвари. Эта операция производится всего один раз, что тоже затрудняет работу экспертов по безопасности.

Костяк вредоноса состоит из трех файлов. Первый отключает на зараженной машине спящий режим и не дает жертве изменить соответственные настройки. Второй файл, это малварь Pony, похищающая данные. Pony ворует все, что плохо лежит, от учетных данных FTP-серверов и почтовых клиентов, до истории браузера и паролей, хранящихся на компьютере. Что делает третий пейлоад, эксперты enSilo пока понять не смогли, так как «разобрать» его им пока не удалось.

Также исследователи enSilo смогли определить, что управляющий сервер малвари расположен на российском домене и связан с несколькими украинскими IP-адресами.