Специалисты компании SonicWall обнаружили новую активность вредоносного программного обеспечения CoreWarrior – устойчивого трояна, распространяющегося с высокой скоростью. Вирус создаёт десятки своих копий и подключается ко множеству IP-адресов, создавая лазейки для доступа и контролируя элементы пользовательского интерфейса Windows.
CoreWarrior распространяется в виде исполняемого файла, упакованного с использованием UPX, который не удаётся распаковать стандартными средствами. При запуске программа создаёт свою копию со случайным именем и использует командную строку для отправки данных на сервер через “curl”. С каждым успешным POST-запросом родительская программа удаляет предыдущую копию и создаёт новую. Всего за 10 минут работы вредоносное ПО может создать и удалить более ста своих копий.
В процессе активности программа открывает порты для прослушивания в диапазонах 49730-49777 и 50334-50679. Зафиксировано также подключение к IP-адресу 172.67.183.40, однако активного TCP/UDP трафика там не наблюдалось.
Троян обладает механизмами защиты от анализа. В частности, он использует антиотладку с помощью rdtsc для проверки времени выполнения, а также случайные таймеры сна, изменяющиеся в зависимости от числа подключений. Программа может определить, работает ли она в виртуальной среде, проверяя наличие контейнеров HyperV. Кроме того, вредоносное ПО поддерживает протоколы FTP, SMTP и POP3 для эксфильтрации данных.
SonicWall уже выпустила сигнатуры для защиты пользователей от данного трояна. Скоро их должны подхватить и другие производители антивирусного программного обеспечения. Чтобы предотвратить возможные атаки, пользователям рекомендуется держать свой защитный софт, а также его базу сигнатур в актуальном состоянии.