E esses mesmos pesquisadores conseguiram ter acesso ao builder HoT Trojan, permitindo-lhes construir, testar e analisar binários - e o veredito não é bom para o criador, para os vendedores ou mesmo para os compradores. O cavalo de Tróia, executável AOS é um ELF compilado de 32 bits, e como tal, só será executado em versões de 32 bits do sistema operacional Linux (executando HoT em uma máquina de 64 bits, o que exigiria algumas soluções alternativas), disse Yotam Gottesman, um pesquisador sênior da RSA Fraud Action Research Labs a partir de uma explicação postada em um post de blog.
Incorporação do Arquivo Malicioso
Quanto ao arquivo de configuração estar em xeque, a diferença entre este malware e outros semelhantes é que o arquivo está incorporado dentro do binário pelo seu construtor - o que significa que, a fim de alterar as informações nele, o botmaster deve construir uma nova versão do binário e atualizar sua botnet a partir dele. O arquivo também é versátil e permite que o botmaster possa fazer uma série de alterações no funcionamento do malware, incluindo a atualização de uma lista de URLs a partir das quais haverá bloqueio de acesso por parte do trojan (por exemplo, sites para baixar as atualizações AV).
"Esta parte do Trojan, foi descrita com precisão pelo seu fornecedor e confirmada pela análise real do arquivo builder e de configuração", observa Gottesman, e acrescenta que também (como anunciado), o desenvolvedor está trabalhando na implementação do mecanismo web-injection para o Trojan. Mas também, vem a promessa de que mesmo trabalhando em uma variedade de distribuições Linux, ambientes e navegadores, não foi cumprida.
Mecanismo de Proteção do Sistema Operacional
Eles tentaram executar o binário em uma certa quantidade de máquinas de teste rodando Fedora 19 e Ubuntu 12.04, e versões padrão do Firefox e do Google Chrome, mas talvez o malware tenha sido capaz de "agarrar" as solicitações de forma indiscriminada, criando rapidamente desordem relacionada ao servidor, ou o malware não funciona em tudo por causa do mecanismo de proteção do sistema operacional. Em uma ocasião, ele ainda mostrou uma tela na máquina infectada - e tudo isso não é muito condizente a uma operação sigilosa e bem sucedida.
"Embora ele inicialmente parecesse ser um novo operador de Trojan convincente, a análise aprofundada do código prova que é um protótipo mais do que verdadeiro de malware comercialmente viável, chegando aos navegadores nas máquinas infectadas e exibindo enorme incapacidade para ter acesso e roubar dados corretamente. Além disso, HoT também pode ser facilmente removido da máquina, excluindo os arquivos down durante o processo de instalação", ressalta Gottesman.
Hand of Thief, de acordo com afirmação do seu desenvolvedor, está em fase final de implementação de um mecanismo de web-injection, mas o grabber form que foi projetado para ele, não é funcional em todos os navegadores, pelo menos por enquanto.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2577